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DECRETI PRESIDENZIALI 


DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 11 aprile 2003. 


Norme di sicurezza per la tutela delle informazioni UE classificate, di attuazione della 
Decisione della Commissione delle Comunità europee del 29 novembre 2001. 


IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 


Vista la legge 24 ottobre 1977, n. 801, recante «Istituzione e ordinamento dei servizi per le 
informazioni e la sicurezza e disciplina del segreto di Stato», in particolare articoli 1, secondo 
comma, e 12; 


Vista la Decisione della Commissione delle Comunità europee n.:2001/844/CE, CECA, Euratom 
della Commissione europea del 29 novembre 2001, che modifica il regolamento interno della medesima 
Commissione, pubblicata nella Gazzetta Ufficiale delle Comunità europee n. L 317 del 3 dicembre 2001, 
in particolare l’articolo 2, paragrafo 2, dell’ Allegato, secondo cui\gli Stati membri sono autorizzati a ri- 
cevere informazioni classificate UE a condizione che essi garantiscano che, nel trattare tali informazio- 
ni, siano rispettate nelle loro sedi di servizio disposizioni strettamente equivalenti a quelle menzionate nel- 
l’articolo 1 della medesima Decisione, in particolare da parte: 


a) dei membri della Rappresentanza permanente, d’Italia presso l'Unione europea, nonché dei 
membri di delegazioni nazionali che partecipano alle riunioni della Commissione o dei suoi organi o che 
prendono parte ad altre attività della Commissione; 


b) di altri membri delle amministrazioni)nazionali che trattano informazioni classificate UE, 
1 quali prestino servizio nel territorio dello Stato o all’estero. 


Visto il decreto del Presidente del Consiglio dei Ministri del 21 settembre 1999; 
Viste le direttive del Presidente del Consiglio dei Ministri/Autorità nazionale per la sicurezza: 


PCM-ANS 1/R — Normeunificate per la tutela del segreto di Stato - Volume I - Sistema di 
Sicurezza - Edizione 1987 e successive modificazioni e integrazioni; 


PCM-ANS 1/R —Norme unificate per la tutela del segreto di Stato - Volume II - Sicurezza 
delle comunicazioni ed organizzazioni e procedure del servizio cifra - Edizione 1994; 


PCM-ANS 1/R— Norme unificate per la tutela del segreto di Stato - Volume III - Sicurezza 
Industriale - Edizione 1993; 


PCM-ANS 1/R/A — Norme unificate per la tutela del segreto di Stato - Volume I - Direttiva 
per la protezione delle informazioni coperte dal segreto di Stato trattate in sistemi di elaborazione 
automatica (e/o elettronica dei dati (EAD) - Edizione 1993; 


PCM-ANS COMSEC 256 (B) — Norme relative all’installazione di apparati elettrici/elettronici 
che elaborano informazioni classificate - Edizione 1998; 


peu 
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Visto il decreto del Presidente del Consiglio dei Ministri 11 aprile 2002, n. 130, recante «Norme di 
sicurezza per la tutela delle informazioni UE classificate di attuazione della Decisione del Consiglio 
dell’ Unione europea del 19 marzo 2001», in particolare 1’ Allegato 2 al medesimo; 


Ritenuta l’esigenza di dare, per gli aspetti interni, piena attuazione alla predetta Decisione della 
Commissione dell’ Unione europea 2001/844/CE, CECA, Euratom; 


ADOTTA 


il seguente decreto: 


Art. 1. 


1. Per gli aspetti di rilevanza interna, piena e completa, attuazione è data alla Decisione 
2001/844/CE, CECA, Euratom della Commissione delle Comunità-europee del 29 novembre 2001, che 
modifica il regolamento interno della Commissione, pubblicata nella Gazzetta Ufficiale delle Comunità 
europee n. L 317 del 3 dicembre 2001, di cui all’Allegato 1, 


2. Si applicano, ai fini dell’aggiornamento dell’organizzazione nazionale per la sicurezza per la 
tutela delle informazioni classificate, le disposizioni di cui all’ Allegato 2 al decreto del Presidente del 
Consiglio dei Ministri 11 aprile 2002, n. 130. 

3. L'Autorità nazionale per la sicurezza prescrive le altre disposizioni di dettaglio per l'integrale 
attuazione delle norme di sicurezza contenute nella predetta Decisione, nell’ambito nazionale e nel 


rispetto della disciplina di protezione dei dati personali, eventualmente applicabile. 


4. Il presente decreto è pubblicato nella Gazzetta Ufficiale della Repubblica italiana. 
Roma, 11 aprile 2003 


Il Presidente: BERLUSCONI 
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ALLEGATO 1 


II 


{Atti per i quali la pubblicazione non è una condizione di applicabilità) 


COMMISSIONE 


DECISIONE DELLA COMMISSIONE 
del 29 novembre 2001 
che modifica il regolamento interno della Commissione 
fnotificata con il numero C(2001) 3031] 


(2001/844/CE. CECA. Euratoft) 


LA COMMISSIONE DELLE COMUNITÀ EUROPEE. 
visto fl trattato che istituisce la Comunità europea. in particolare l'articolo 218, paragrafo 2, 
visto il tratrato che istituisce la Comunità europea del carbone e dell'acciaio, in particolare l'arricale 16. 
viso il rartato che istituisce la Comunità europea dell'energia atomica, in particolare l'articolo 13). 


visto il trattato sull'Unione europea, in particolare l'articolo 28. paragrafo 1, e l'articolo 41, paragrafo 1. 


DECIDE: 


Articolo ] 
Le disposizioni della Commissione in, materia di sicurezza, i} cui testo è allegato alla presente decisione. 
sono aggiunte in allegato al regolamento interno della Commissione. 

Articolo 2 


La presente decisione entra în vigore ii giorno della pubblicazione nella Gazzetia ufficiale delle Comunità 
Curopee. 


Essa si applica a decorrere dal ]° dicembre 2001. 


Fatio a Bruxelles, i29 novembre 2001. 


Per la Commissione 
HI Presidente 
Ramano PRODI 
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DISPOSIZIONI DELLA COMMISSIONE 


Considerando quanto segue: 


(091 Per sviluppare le attività della Commissione in settori che richiedono un certo grado di riservatezza. occorse porte 
in essere un sistema di sicurezza plobale riguardame la Commissione, le altre istituzioni, organi. uflici cugenzie 
istitu in base al trattato CE o al iranato sull'Unione europea, gli Stati membri, nonché qualunque Valiro 
destinatario di informazioni classificate UE. di seguito denominate «informazioni classificate UE. 


{2) Per salvaguardare l'efficienza del sistema di sicurezza così istituito, la Commissione consemirà l'accesso alle 
informazioni classificate UE soltamo a quegli organismi esterni che dimostrino. di aver preso tune le misure 
necessarie per conformarsi a disposizioni strezzamente equivalenti alle presenti disposizioni. 


{3} Le presenti disposizioni lasciano impregiudicati il regolamento n. 3, del 31 luglio 1958, recante attuazione 
‘ dell'articolo 24 del trattato che istituisce la Comunità eoropea dell'energia atoniica ("il repolamento (CE) n. 
1588/90 del Consiglio, dell'11 giugno 1990, relativa alla trasmissione all'Istituto statistico delle Comunità europee 
di dati statistici protetti dal segreto (?), nonché la decisione C (95) 1510 del, della Camimissione, del 23 novembre 

1995, sulla protezione dei sistemi informatici. 


(4). La Commissione fonda il proprio sistema di sicurezza sui principi enunciati nella decisione 2001/264/CE del 
- . Consiglio, del 19 marzo 2001, che adomia le norme di sicurezza del Consiglio 0), allo scopo di assicurare il buon 
funzionamento del processo decisionale dell'Unione. 


{5} La Commissione sottolinea l'importanza di associare, ove apportuno;‘le altre istituzioni dell'Unione europea alle 
regole e alle norme di riservatezza necessarie per tutelare pli interessi dell'Unione e degli Stai membri. 


-{6) . La Commissione riconosce la necessità di creare un proprio contetto di sicurezza, prendendo in considerazione 
tomi gli elementi della sicurezza ed il carattere peculiare della Commissione in quamo istiuzione. 


(7) -Le presenti disposizioni lasciano impregiudicati l'articolo 25% del trattato e il regolamento (CE) n. 1049/2001 del 
Parlamemo europeo e del Consiglio, del 30 maggio 2001, relativo all'accesso del pubblico ai documenti del 
Parlamento europeo, del Consiglio e della Conmissione)(*). 


Articolo 1 


Le disposizioni della Commissione in materia di sicurezza sono riportate nell'allegato. 


Articolo 2 


1. Il membro della Commissione preposto alla ‘sicurezza prende le. misure necessarie per garantire che, nel trattare 
informazioni classificate UE, i furizionari e si altri agenti della Commissione, il personale distaccato presso la Commis. 
. sione, il personale impiegato.im. tutte le sedi della Commissione, compresi gli uffici di rappresentanza nell'Unione € le 
delegazioni nei paesi terzi, nonché i contraenti esterni della Commissione rispettino le disposizioni di cui all'articolo 1. 


2. Gli Stati membri nonché le altre istituzioni, organi, uffici ed agenzie istituiti dai trattati o in base ad essi sono 
autorizzati a ricevere informazioni tlassificate LIE a condizione che essi garamtiscano che, nel trattare tali informazioni, 
siano rigpevisie nelle\loro sedi di servizio disposizioni strettamente equivalenti a quelle menzionare all'articolo 1, in 
particolare da parte: 


.4) dei membiri delle rappresentanze permanenti degli Stati membri presso l'Unione europea, nonché dei membri di 
delegazioni nazionali che partecipano alle riunioni della Commissione © dei suoi organi o che prendono pane ad altre 
attività della Commissione: 


b} disalri’ membri delle amministrazioni nazionali degli Stati membri che trattano informazioni classificare LIE, i quali 
presino servizio nel ierritorio depli Stati membri & all'estero; 


cdi comraenti esterni e di personale dimaccato che trattano informazioni classificate VE. 


hi GU L 15) del 15.6.1990, pan. 1 
GU L10) dell'11.4,2001, pag. 1. 
{9 GU L 145 del 31.5.2003, pap 43, 
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Articolo 3 


Gli Stati terzi, le organizzazioni internazionali cd attri vrpaniami sotto autorizzati a ricevere informazioni classificate WDa 
condizione che essì garantiscano che, nel trattare tali informazioni, siamo rispettate disposizioni sirettamente equitalenti a 
quelle menzionate all'articolo 1. 


Ania A 


Conformemente ai principi fondamemali e alle norme minime di sicurezza contenuti nella parte ] dell'allecaio, il membro 
della Commissione preposto illa sicurezza può adomare misure ai sensi della parte }) dell'allegato, 


Articolo £ 


A decorrere dalla data della loro applicazione, le presenti disposizioni sostituiscono: 


a} la decisione © {94) 3282 della Commissione, del 30 novembre 1994, relativa alle misure\di/sicurezza applicabili alle 
informazioni classificate prodone o trasmesse nel quadro delle attività dell'Unione eutapea: 


b) la decisione € (1999) 423 della Cammissione, del 25 febbraio 1999, relativa alle modalità secondo cui i funzionari è 
gli agenti della Commissione curopea possano essere autorizzati ad accedere a informazioni classificate in possesso 
della Commissione. 


Artio di 


A decorrere dalla data di applicazione delle presemi disposizioni, tune Ae informazioni classificare in possesso della 
Commissione fino a tale dara. eccetto le informazioni classificate Euratora, 


e) se sono stare creare dalla Commissione, si considerano riclassificate(pen difenno «RISERVATO UE, a meno che l'autore 
decida di conferire loro un'altra classificazione entro it 31 pennaio 2002, nel qual caso l'autore ne informa tutti i 
‘ destinatari del documemio in questione: 


b} se sono stare create da fomi esterne alla Commissione. conservano fa classificazione originaria e sono quindi trattate 
come informazioni classificate LIE di grado equivalemie. a meno che l'autore acconsenta a declassificarie © declassarie. 
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PARTE I: PRINCIPI FONDAMENTALI E NORME MINIME DI SICUREZZA 


1 INTRODUZIONE 


Con queste disposizioni si stabiliscono i principi ‘sidamentali e le norme minime di sicurezza che devono estero 
debitameme rispettate dalla Commissione in tutte le sue sedi di servizio e da tutti i destimatari di informazioni classificate 
UE, perché sia salvaguardara la sicurezza è copnune abbia ta garanzia che è in vipore un regime comune di protezione. 


2. PRINCIPI GENERALI 


La politica di sicurezza della Commissione Forma parte iniegrame della sua politica generale di pesticihy folema e si basa 
pertamo sugli stessi principi infonnatori di quest 


Tra questi principi sì annoverano Ja legalità. la tvasparenza, la responsabitità {a dovere di rendere conto delle proprie 
azioni e la sussidiarietà (o proporzionalità). 


Per legalità si intende la strerta adesione al quadro 
rigorosa omemperanza alle prescrizioni legali. Ques 
sicurezza si fondino su adeguate disposizioni norm 
statuto del ‘personale, segnatamente l'amicolo 17 sui 


ridico nell'espletamento delle funzioni legate alla sicurezza e la 
concetto implica altresi che, le responsabilità nel campo della 
ce. Tra queste, trovano piena \applicazione le disposizioni dello 
iblipo di discrezione imposto al personale riguardo alle informa- 
zioni della Commissione e il titolo VI sulle misure Sisciplinari. Un'altra implicazione, infine, è che le violazioni della 
sicurezza nell'ambito di responsabilità della Commissione devono essere affromate in maniera coerenie con la politica 
della Commissione in materia disciplinare e con la 5:21 politica di cooperazione con gli Stai membri in campo penale e 
piudiziario. 


Per avasparenza si intende chiarezza in tuite le norme e disposizioni( sulla sicurezza, equilibrio nella ripanizione delle 
compeenze tra i vari servizi e settori (sicurezza maresale, proiezione delle informazioni. ecc c un'azione sistematica è 
strutturata di coscientizzazione alla ternavica della sicurezza. Oltre a ciò; questo termine presuppone l'esisenza di chiari 
orientamenti scritti per l'attuazione delle misure di siccrezza. 


Per responsabilitàsi intende irinanzi tutto una chiara celimizione delle competenze in materia di sicurezza, da cui discende 
la necessità di uma regolare verifica del corretto eserzizio di tali comperenze. 


Sussidiarietà, o proporzionalità, significa che la sicurezza dev'essere organizzata al livello gerarchico più basso, ii più 
possibile in connessione con le direzioni generali e con i servizi della Commissione, Inoltre, gli interventi nei campo della 
sicurezza devono ‘essere limitati allo stretto indispensabile e. infine, le misure di sicurezza devono essere proporzionare 
agli interessi da tutelare e alle minacce, reali o potenziati. contro tali interessi. i quali vanno comunque difesi con il minor 
danno possibile, 


3AFONDAMENTI DELLA SICUREZZA 


Un'efficace sicurezza sì fonda sui\seguenti elememi 
a) all'inierno di ciascuno Stara membro, un'orpanizzazione della sicurezza nazionale competeme per: 


1} Ja raccolta e ja registrazione di informazioni in materia di spionaggio, sabotaggio, terrorismo e alire attività 
scvversive; 


2) l'informazione € la consulenza al proprio poverno e, tramite quest'ultimo, alla Commissione, circa il caranere delle 
mimagte che incombono sulla sicurezza e i relativi mezzi di protezione; 


b) all'interno di ciascuno Siaro membro e nell'ambie della Commissione, un'autorità tecnica INFOSEC incaricata di 
collaborare tcon l'autorità di sicurezza comperente per fornire informazioni e consulenza circa le minacce tecniche alla 
sicurezza e i)relativi mezzi di protezione: 


©) una regolare collaborazione tra amministrazioni puobliche e i servizi compeenti delle istituzioni europee per siabilire 
e raccomandare opporiunamente: 


1} quali persone, informazioni e risorse occore proteggere: 
7) norme comuni di protezione: 


dj una siretia collaborazione tra 'IMficio di sicurezza della Commissione e i servizi di sicurezza delle altre istituzioni 
europee, nonché con l'Ufficio di sicurezza della NATO (NOS). 


ii 


21-7-2003 Supplemento ordinario alla GAZZETTA UFFICIALE Serie generale - n. 167 


4, PRINCIPI DI SICUREZZA DELLE INFORMAZIONI 


4.1. Obiertivi 


La sicurezza delle informazioni persegue principalmente i seguenti obiettivi: 
a} proteggere le informazioni classificate VIE dallo spismaggio, da manomissioni o dalla diffusione non autorizzata: 


bj proteggere le informazioni UÈ impiegate in simenii © reti di comunicazione e d'informazione da minacce cotiro la loro 
riservatezza, imegrità e disponibilità: 


0) proteggere le installazioni in cui s trovano ke intormazioni UE dal sabotaggio e dal damneggiamieno imenzionale 
premeditato: 


di qualora sia impossibile evitarlo, valutare il dammo arrecaro, limitarne le conseguenze e adonare lUmisure necessarie per 
ripararla. 


4.13. Definizioni 


Al fini delle presenti disposizioni, si imende per: 


a} «informazioni classificate UE» (ICUE): le informazioni e i materiali la cui divulgazione non autorizzata potrebbe recare 
in varia misura pregiudizio agli interessi dell'UE o a umo @ più Stati membri, sia che le informazioni suddette 
provengano dall'intemo dell'UE ovvero dagli Stai membri, da StatiCierzi o da organizzazioni internazionali: 


b) «documento= qualsiasi lettera, nota, verbale, relazione, promemoria; segnale/messaggio, schizza, lotngralia, diapositiva, 

- pellicola. mappa, diagramma, piano, taccuino, stampo. carta carbone, nastro dattilagrafico 0 di siampanmte, nasiro 

magnetico. cassetta, dischetto di computer, CD ROM o altro mezzo materiale sul quale possono essere state registrate 
informazioni: 


c} «rnateriale.: qualsiasi «documento» secondo la definizione (dilcui alla lettera b) e altresi qualsiasi elemento di atirezza- 
tura, sia sorto forma di prodotto finito, sia in corso diNavorazione: 


d) «necessità di sapere»: la necessità di un singolo dipendente di accedere ad informazioni classificate LIE per poter 
espletare una funzione o eseguire una mansione: 


e) «autorizzazione»: una decisione del presidente/delia Commissione con cui si concede l'accesso individuale ad infarma- 
zioni classificate UE fino ad un determinato frado, sulla base dell'esito positivo di un'indagine di sicurezza svolta da 
un'autorità nazionale competente a norma, del dirino nazionale: 


Î) «classificazione»: il conferimento di unGdoneo livello di sicurezza ad informazioni la cui divulgazione non autorizzata 
porrebbe recare in certa misura pregiudizio agli interessi della Commissione 0 degli Stati membri; 


g) «declassamento»: una riduzione (del grado di ciassifitazione: 
h} «declassificazione»: la soppressione di qualsiasi menzione di classificazione; 


Î) «oripinarore»: l'autore debitamente autorizzato di un documemo classificato, All'interno della Commissione, i capi dei 
servizi possono autorizzare)i loro subordinati ad «aripinare» KCUE: 


Îì «servizi della Commissione»: le direzioni generali e i vari servizi della Commissione, compresi i gabinetti, in tutte le sedi 
di servizio, inclugiti! Centro Comune di Ricerca, gli uffici di rappresentanza nell'Unione e le delegazioni nei paesi terzi. 


4.3. Classificazione 


a) Per quanto riguarda la riservatezza, la selezione delle informazioni e dei materiali da proteggere e la valutazione del 
grado \di proiezione necessaria richiedonm diligenza ed esperienza. È pamicolarmente imponame che il grado di 
proiezione corrisponda al grado di sicurezza richiesto dalla singola informazione e dal singolo materiale da proteggere. 
Perché non vi siano ostacoli al flusso delle informazioni, accorre prendere provvedimenti per evitare sia la severa-classi 
ficazione che la sottoclassificazione. 


b} IT sistema di classificazione è la strumento per iradurre in pratica quesii principi; un sistema di classificazione analogo 
dovrebbe essere adottato nella pianificazione e nell'organizzazione della latta contra lo spionaggio, il sabotaggia, il 
lerrorismo « altre minacce, in modo da paramire la massima protezione ai principali edifici in cui sono callacate 
inlormazieni classificate è i punti più sensibili all'imerno di questi. 
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c) La responsabilità della ciassiticazione delle informazioni spetto unicamente all'originatore. 

di Il grado di classificazione dipende unicamene dal contenuto delle informazioni stesse. 

c) Se più elementi d'informazione sono uniti congiuntamente, il grado di classificazione da conferire all'insieme sarà 
almeno eguivaleme a quelle dell'elemento con grado più elevato. Ad una racconta di informazioni può essere nattavia 


conferito un prado di classilicazione più elevato di quello dei suoi elementi costirutivi. 


Î) Le classificazioni devono essere assegnate soltanto nella misura co per la durata in cui sia necessario. 


4.4, Finalità delle misure di sicurezza 


Le misure di sicurezza: 


4) riguardano 1uite le persouie che hanno accesso alle informazioni classificare. ai relativi suppontiCazli edifici che 
contengono tali informazioni è a imporianti installazioni: 


b} sono destinate a individuare je persone che. per la loro situazione, porreblera mettere in pericolo ja sicurezza di 
informazioni classificate è di imponianii installazioni che comengono infommazioni classificae € 2 provvedere alla lora 
esclusione o allontanamento: 


€) impediscono alle persone nen autorizzate di accedere alle informazioni classificate 0 alle inisrallazioni che le comen- 
gono: 


dj garaniiscono che le informazioni classificate siano diffuse soliamo m base al principio della necessità di sapere. che è 
fondamentale per tuni gli aspeni della sicurezza: 


# assicurano l'imeprità (ossia la prevenzione della corruzione, dell'alterazione @ della cancellazione non autorizzare) © la 
disponibilità (ossia che l'actesso non sia negato a coloro che devono £# sono autorizzari ad averivi di tune le 
informazioni, siano esse classificate © non, e sopraniunto delle informazioniimmagazzinate, elaborate o irasmesse sono 
forma elettromagnetica. 


3. ORGANIZZAZIONE DELLA SICUREZZA 


5.1, Norme comuni minime 


La Commissione garantisce che tumi i destinaiari di KCUE, all'interno dell'isiiuzione e nei servizi soggetti alla sua 
competenza, compresi i contraenti. osservino nonne minime/comuni di sicurezza affinché le informazioni classificare VE 
possano essefe trasmesse con la ceriezza che saranno trattate con la stessa diligenza. Dette norme minime ineludona 
criteri per il rilascio del nulla osta di sicurezza al personale è procedure per la protezione delle informazioni classificate 
UE. 


La Commissione autorizza l'accesso alle ICUE/2d\organismi esterni solo a condizione che essì parantiszano che, nel 
trattare le ÎCUE, siano risperiate disposizioni! strettamente equivaleni alle suddeme norme minime. 


5:2. Organizzazione 
All'interno della Commissione, la siturezza è organizzata a due livelli: 


a) a livello della Commissione nel suo insieme, esiste un ufficio di sicurezza della Commissione, di cui fanno parte 
un'autorità di accreditamento in\riateria di sicurezza (SAA) — che funge anche da autorità Crypio {CrAi e da autorità 
TEMPEST — ed un'autorità INFOSEC {lA}, affiancato da uno o più uffici centrali di registrazione per le ICUE, ciascuno 
cori uno 0 più funzionari di controllo {RCO 


bj a livello dei singoli servizi della Commissione, la competenza in materia di sicurezza è ripartita tra uno o più 
responsabili delia sicurezza a livello locale (L50), uno o più responsabili della sicurezza informatica a livello centrale 
{CISO), responsabili della sicurezza informatica a livello locale {LISO) e uffici locali di registrazione per le ICUE con 
uno o più funzionari di comrollo; 


c) gli organi di-sicurezza centrali impartiscono istruzioni operative agli organi di sicurezza locali. 
0. SICUREZZA DEL PERSONALE 


1.1. Nulla osta di sicurezza deli personale 


Tutti coloro che devono accedere a informazioni classificare UE RISERVATISSIMO è di grado superiore devono aver 
debitamente ricevuto l'apposito nulla osta prima di essere autorizzate a lale accesso, Lo stesso nulla osta è richiesto alle 
persone che si occupano del funzionamemo iconica è della manuienzione dei sistemi di comunicazione + di informazione 
comenenti informazioni classificate. Questo nulla osta deve servire a determinare st detti individui: 


a) sono di indelenibile lealtà: 
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b) dimostrano forza di carattere © discrezione tali che non vi siano dubbi sulli loro inteprità nel iratamente delle 
informazioni classifizare: eppure 


c} possono essere sensibili a pressioni proveniemi dall'esterno o altre. 


Nell'ambito dell procedure di nulli costa, sona sottoposti ad un esame particolanmente accurato calore che 
d) devono otlenere accesso alle informazioni UP SEGRETISSIMO; 
€) occupano posizioni per le quali hanno repolare accesso a una considerevole quantità di informazioni UE SEGRETO: 


DO hanno per le loro mansioni accesso speziale a sistemi di comunicazione 0 d'informazione protetti c petti potrebbero 
avere accesso non autorizzato 4 grandi quamità di informazioni classificate UE è danneggiare praventitnie la missione 
con atti di sabotaggio tecnico. 


Nelle circostanze di cui alle lettere di, et è f) si deve impiepare nella massima misura possibile la tecnica delle indagini di 
fonda. î 


Le persone che non hanno una vera è propria «necessità di sapere» e lavorano in circostanze nelle quali possono avere 
accesso a informazioni classificate LIE {per esempio fanorini, ageri della sicurezza. personale addetto alla manutenzione n 
alle pulizie ecc.), devono prin di intto ottenere un apposito nolla osta di sicurezza: 


6.2. Registrazione dei nulla osta del personale 


Tutti i servizi della Commissione che iranano informazioni classificate UÈ avverdLospitano sistemi di comunicazione 
d'informazione protetti tengono una traccia dei nulla osta concessi al personale addento. Ciascun nulla osta deve essere 
verificato all'occorrenza, per accertare che sia adatto ai compiti svolti da/quella persona; deve essere immediatamente 
riesaminato non appena nuove informazioni indichino che non è più (rell'imieresse della sicurezza mamienere quella - 
persona a contatto con infonmazioni classificate, Il responsabile della sicurezza a livello locale presso il servizio interessma 
liéne uma traccia dei nulla osta che rientrano nella sua sfera di comperenza. 


t.3. Istruzioni di sicurezza per il personale 


Tutio il personale che ricopre incarichi in cui potrebbe aver accesso a informazioni classificate è dettagliatamente istruito 
al momento di assumere l'incarico e a intervalli regolari circa le esigenze di sicurezza e le relative procedure. Detta 
personale è tenuto a certificare per iscritto di aver lew@. e) perfenamente capito le presenti norme di sicurezza. 


6.4. Responsabilità dei dirigenti 


I dirigenti hanno il dovere di sapere quali dei lora\subordinati lavorino a comtatto con informazioni classificate 0 abbiano 
accesso a sistemi di comunicazione 0 d'informazione protetti e di registrare e riferire qualsiasi incidente o caso di palese 
vulrerabilnà che possa avere conseguenze \sulla sicurezza. 


6.5. Affidabilità del personale in farro di sicurezza 

Seno istituite procedure per parantire che, allorché si viene a conoscenza di informazioni neparive riguardo a un 
individuo, si chiarisca se costui svolge un lavoro a contanto con informazioni classificate o ha accesso a sisiemi di 
comunicazione © d'informazione proweri e l'ufficio di sicurezza ne sia informato, Se si stabilisce che rappresenta un 
pericalo per la sicurezza, detto individuo deve essere allontanato 0 rimosso da ogni incarica in cui potrebbe mettere a 
repentaglio la sicurezza. 


7, SICUREZZA MATERIALE 


7.1, Necessità della protezione 


I prada di sicurezza materiale da applicare per garantire la protezione delle informazioni classificate IE deve essere 
proporzionato alla classificazione, al volume e alle minacce che incombono sulle informazioni e sul mareriale cusiodito. 
Tutti i deremtori di informazioni classificate UE devono seguire pratiche unilorini per quanto riguarda la classificazione 
delle informazioni in loro possesso e onemperare a norme comuni di protezione per quel che riguarda la custodia, fa 
trasmissione e la diffusione di informazioni e di materiale soggetti a protezione. 


7.2. Controlli 


Prima di lasciare i luoghi in cui sono riposte informazioni classificate VE, non sonioposti a sorveglianza, le persone a cui 
detli luoghi sono affidi devono assicurarsi che le informazioni siano immagazzinate in modo sicuro e che tutti i 
dispositivi di sicurezza siano sari antivati (serrature, allarmi, ecc), AL termine dell'orario di lavora devono essere effenuati 
altri controlli indipendenti. 
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2,3, Sicurezza degli edifici 


Gli edifici comenenti informazioni classificate UE o sistemi di comunicazione e d'informazione pratetti devono essere 
iviclati comtro l'accesso mon autorizzata. Il tipo di protezione destinato alle informazioni classificate VE per esempio 
sbarramento di finestre, serrature alle porie, puardie all'enirata, sistemi di controlla dell'accesso auiomatizzati, controlli di 
sicurezza © ispezioni, sistemi d'allarme, sistemi di individuazione delle intrusioni « cani da puardia dipendono: 


a) dalla classificazione, dal volume e dall'ubicazione all 
gere: 


nemo dell'edificio delle informazioni c dei materiali da proweg: 


ti} dalla qualità dei comenitori di sicurezza per queste informazioni © mimeriali: 


c) dalle varanerimiche dell'edificio c dalla sua ubicazione. 


Anche per i sistemi di comunicazione è d'informazione i tipo di protezione prescelto deve dipendere da una stima del 
valore di quam £ in gioco e del danno potenziale che deriverebbe dal venir meno della sicurezza. dalle caratteristiche e 
dall'ubicazione dell'edificio nel quale è cusindio ii sisema v dalla collocazione del sistema alliniemo dell'edificio, 


?.4. Piani d'emergenza 


Occorre predispone in amitipo piani dettagliati per ia rrorezione delle informazioni classificare durante un'emergenza 
locale © nizionale. 


8. SICUREZZA DELLE INFORMAZIONI 


La sicerezza delle informazioni INFOSEO) riguarda l'incividuazione e l'applicazione di misure di sicurezza per proteggere 
le informazioni classificate UE elaborate, immagazzinate c trasmesse in sistemi elemronici di comunicazione e d'informa. 
zione © altri, contro il venir meno della riservatezza. dell'imegrità o/della disponibilità, accidentale è intenzionale. 
Adeguare comiromisure devono essere prese per prevenire l'accesso alle informazioni classificate UE da partie di utenti non 
autorizza:i. per impedire che a utenti autorizzati sia sprosio il rifiuto di atcedere alle informazioni classificate UE e per 
prevenire l'alerazione ovvero la modificazione © ia cancellazione non autorizzate di informazioni classificate UE. 


9. MISURE CONTRO IL SABOTAGGIO ED ALSRE FORME DI DANNO INTENZIONALE PREMEDITATO 


Le precauzioni malgriali per la protezione di impormanii insrallazioni in cui sono conservate informazioni classificate sono 
la migliore paranzia di sicurezza e di prorezione coniro È sabotaggio e i) danno intenzionale premeditato, laddove il sola 
nulla osta del personale non basta. L'organismo nazionale competente è invitato a comunicare le informazioni raccolte in 


materia di spionaggio, sabotaggio, terrorismo e altre atività sovversive, 


10. COMUNICAZIONE DI INFORMAZIONI CLASSIFICATE A STATI TERZI OD ORGANIZZAZIONI INTERNAZIONALI 


Spera alla Commissione decidere collegialmente se comunicare a uno Stato terzo 0 a un'organizzazione internazionale 
informazioni classificare UE. Se l'originatore delle informazioni che si vogliono comunicare non è la Commissione, 
quest'ultima deve anzitutto otenere ilconsenso dell'originatore. Se è impossibile stabilire l'oripinatore, la Commissione ne 
assume la responsabilità. 


Le informazioni classificate che la Commissione riceve da Stati terzi, da organizzazioni internazionali © da altri terzi 
devono essere ogperio di protezione proporzionata alia ioro classifitazione ed equivalente alle norme stabilite dalle 
resenti disposizioni per le informazioni classificate UE o alle norme più severe richieste dai lerzi che comunicano 
‘informazione. Possono essere predisposti controlli reciproci. 


I principi di cui sopra devono essere applicati in conformità delle disposizioni dettagliate della parte Il, sezione 26, e delle 
appendici 3, 4 e 5, 


PARTE ll: L'ORGANIZZAZIONE DELLA SICUREZZA NELLA COMMISSIONE 


11. IL MEMBRO DELLA COMMISSIONE COMPETENTE IN MATERIA DI SICUREZZA 


li miembro della Commissione compeleme in materia di sicurezza: 
a) \allua la politica di sicurezza della Commissione: 
bprende in esame i problemi di sicurezza sottopostigli dalla Commissione o dai suoi organi competemi; 


c) esamina le questioni che comporto cambiamenti nella politica di sicurezza della Commissione, in stretto legame con 
le amorità di sicurezza nazionali fu altre) depli Sta: membri {in seguilo denominate «NSA: 
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ir particolare, il membro della Commissione competente ino materia di sicurezza ha ira le sue anvibuzioni: 
2) il coordinamento di tune le questioni di sicurezza commesse alle auività della Commissione: 


b) inviare alle autorità designate dagli Stati membri le richieste affinché le NSA predispongano i nulla vsta di sicurezza 
per it personale impiegato alla Commissione in conforminà della sezione 20: 


c) ordinare indagini su qualziasi fuga di informazioni classificato UE, che a prima vista sembri avere avoo Virdpo 
nell'ambito della Commissione: 


di chiedere alle autorità di sicurezza imeressate di avviare indagimi in caso di [upa di informazioni classilivat/UE che 
sembri aver avuto luogo al di fuori della Commissione e coordinare le inchieste quando sono coinvolie più'auerivà di 
sicurezza: 


e) Ispezione periodica dei dispositivi di sicurezza ner la protezione delle informazioni cdlassificae VUE: 


N mamenere uno stretto lepame com tutte le autornà di sicurezza imeressate ai fmi di un coordinamemeo globale della 
sicurezza: 


f) riesaminare cosamemente la politica e le procedure di sicurezza della Commissione £. sebnecessario. formulare le 
apporture raccomandazioni. A quesio riguardo. i membro della Commissione competente in materia di sicurezza 
presenta alla Commissione il piano di ispezione annuale elaborato dall'ufficio di sicurezza della Commissione. 


12. IL GRUPPO CONSULTIVO PER LA POLITICA DI SICUREZZA 


E istituito un gruppo consultivo della Commissione cer la polilica di sicurezza. Esso è presieduto dal membra della 
Commissione competente m materia di sicurezza o da chi ne fa le veci ed è composto da rappresemiamii delle NSA degli 
Stati membri. Possono essere invitati a parteciparvi ancZe rappresentanti di altre. istiluzioni europee, come pure rappresen. 
tanti degli organismi decemrati UE quando vi si discutono questioni che li riguardano. 


I} gruppo consultivo della Commissione per la politica di sicurezza si tiumisce a richiesta del presidente o di uno dei suoi 
membri. Esso ha jl compito di esaminare e valutare tu7:e le questioni relative alla sicurezza e, se del caso. di presentare 
raccomandazioni alla Commissione. 


13. IL COMITATO Di SICUREZZA DELLA COMMISSIONE 


È istituno un comitato di sicurezza, presieduto dal Sepieratiò generale e composto dai direttori generali del servizio 
piuridico, dell'amministrazione e del personale, delle re:azioniresterne, della giustizia e allari interni e del cemro comune di 
ricerca, nonché dai capi del servizio di audit interna e dell'ufficio di sicurezza della Commissione. Passono essere invitari a 
parteciparvi amche altri funzionari della Commissione: Esso ha il compito di valutare le misure di sicurezza vigemti 
all'intemo della Commissione e di rivolgere raccomandazioni im materia al membro della Commissione competente per la 
sicurezza. 


14. L'UFFICIO DI SICUREZZA DELLA COMMISSIONE 


Per adempiere le responsabilità di cui alla sezione 11, i! membro della Commissione competente per la sicurezza dispone 
dell'ufficio di sicurezza della Commissione per il coordinamento, la supervisione e l'applicazione delle misure di sicurezza. 


Il capo dell'ufficio di sicurezza della Commissione è ii consigliere principale del membro della Commissione competente 
in marea di sicurezza circa le questioni di sicurezza e funge da sepretario del gruppo consultivo per la politica di 
sicurezza. Dirige l'aggiornamento della normativa in materia di sicurezza e coordina le misure di sicurezza con le autorità 
competenti degli Stati membri(è, se del caso, con le organizzazioni internazionali che hanno conclusa con la Commis: 
sione accordi in materia/di sicurezza. A questo scopo agisce come ufficiale di collegamento. 


Il capo dell'ufficio di sicurezza della Commissione è responsabile dell'accreditamento dei sistemi e delle reti di TI 
all'interno della Commissione, il capo dell'ufficio di sicurezza della Commissione decide, d'intesa con le competenti NSA, 
circa l'accrediramento, dei sistemi e delle reti di TI che coinvolgono la Commissione, da un lato, e qualsiasi altro 
destinatario di ififormazioni classificate UE, dall'altro. 


15. ISPEZIONI DI SICUREZZA 


L'ufficio di sicurezza della Commissione compie ispezioni periodiche dei dispositivi di sicurezza per la protezione delle 
informazioni classificate UE, 


L'ufficio di sicurezza della Commissione può essere assistito, nell'esercizio di questa funzione, dai servizi di sicurezza di 
‘altre istituzioni dell'UE che custodiscono ICUE o dali NSA degli Stati membri ('). 


A richiesta di uno Stato membro, la rispettiva NSA può compiere un'ispezione di ICUE all'interno della Commissione, di 
comune accordo « in collaborazione con l'ufficio di sicurezza della Commissione. 


(1 Fatti salvi fa convenzioni di Vienna del 196) sulle relazioni diplomatiche e i protocollo sui privilegi cio immimità delle Comunità 
eutonvo dell'& aprile 1965, 
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16. CLASSIFICAZIONI, INDICAZIONI DI SICUREZZA E CONTRASSEGNI 


16.1. Gradi di classificazione (") 


Le informazioni sono classificate von i seguenti gradi (cfr. anche appendice 2): 

UE SEGRETISSIMO: questa classificazione si applica. soltanin a informazioni e materiali la cui divulgazione\nén 
autorizzata potrebbe arrecare danni di eccezionale gravità agli imeressi fondamemiali dell'Unione curopea è di unvopii 
Stasi membri. 


UE SEGRETO: questa classificazione si applica saltano a informazioni e materiali ja cui divulgazione nom abrorizzara 
9 SE P i 1 i ; 
potrebbe ledere pravemente gli imeressi fondimemali dell'Unione europea o di uno © più Stati membri. 


UE RISERVATISSIMO: questa clarsilicazione si applica a informazioni e materiali la cui divulgazione nom autorizzara 
porrebbe ledere pli interessi fondameniali dell'Unione europea o di uno e più Stati membri. 


UE RISERVATO: questa classificazione si applica a informazioni e maleriali la cui divulgazione mon autorizzata porrehbe 
arrecare pregiudizio agli interessi dell'Unione europea o di uno 0 più Stati membri. 


Non sono ammesse altre classificazioni, 


16.2. Indicazioni di sicurezza 


Possono essere utilizzate indicazioni di sicurezza convenzionali per porre liniiti alla validità di una classificazione iper il 
declassamento o la declassificazione automatica di informazioni classificate). Tali indicazioni possona essere: «FINO A _..... 
(periodafdatala 0 FINO A .... (evento). 


Qualora risultino necessari uma distribuzione limitata è un trattamemg speciale ole a quanto indicato dalla classificazione 
di sicurezza, si appongono indicazioni supplementari quali CRYPTO \o qualunque alira indicazione di sicurezza ricono. 
sciuta a livello UE. 


Le indicazioni di sicurezza possono essere utilizzate soltamto»\unitamente ad una classificazione. 


16.3 Contrassegni 


Un contrassegno può essere usato per specificare \un settore che forma oggetto del documento © una distribuzione 
particolare sulla base del principio della necessità di sapere, ovvero per indicare il termine di un embargo {nel casa di 
informazioni non classificate). 


Un contrassegno non è una classificazione è non deve essere usato al posto di questa. 

Il contrassegno ESDP/PESD si appone su-documenti e copie depli stessi concernenti la sicurezza e la difesa dell'Unione @ 
di uno o più Stati membri o relativi alla pestione delle crisi militari o non militari. 

16.4. Apposizione della classificazione 


La classificazione si appone nel modo seguente: 
a) su documenti UÉSRISERVATO con mezzi meccanici o elettronici; 
bj su documenti DE RISERVATISSIMO con mezzi meccanici o a mano o a stampa su carta prestampigliara, registrata: 


c} su documenti UE SEGRETO e UE SEGRETISSIMO con mezzi meccanici € a mano, 


16,5 Apposizione delle indicazioni di sicurezza 


Le indicazioni di sicurezza sono apposte immediatamente sotto la classificazione, con lo stesso mezza usato per la 
classificazione. 


{0} NellFappendice 1 e ripiani una cabella comparativa delle dassificazioni di sicurezza UE. NATO, UCO c degli Stati membri. 
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17, GESTIONE DELLA CLASSIFICAZIONE 


17.1. Considerazioni generali 


Le informazioni sonn classificate solo se necessario. La classificazione è indicata chiarameme e correunametà ed è 
mantenuta solo per la durata in cui è necessario proteggere l'informazione. 


La responsabilità della classificazione dell'informazione e di eventuali declassamenti 0 declassificazioni successivi spetta 
unicameme all'originatore. 


If funzionario 6 aliro apeénie della Commissione classifica, declassa o declassilica un'informazione/su istruzione del suo 
superiore gerarchico n d'intesa con il medesimo. 


Le modalità dettagliate per il trattamento dei documenti classificati sono stare elaborate in moda da paramire che essi 
siano soggetti a uma protezione commisurata alle informazioni che contengona. 


1 numero di persone autorizzate ad emanare documenti UE SEGRETISSIMO è limitara al minimo e il loro nominativo 
figura in un elenco compilato dall'ufficio di sicurezza della Commissione. 
17.2. Attribuzione delle classificazioni 


La classificazione di un documento è derermminata dal livello di sensibilità delisuo comtenuto, secondo la definizione di cui 
alla sezione 16. È importante che la classificazione sia attribuita comeuamente e con moderazione, in particolare per 
quanto riguarda la classificazione UE SEGRETISSIMO. 


L'originatore di un documento che deve essere classificato tiene presenti le disposizioni sopraelencate e limita la tendenza 
alla sovra - o soroclassificazione. 


Nell'anpendice 2 fiputa una guida pratica per la classificazione. 


È possibile che singole pagine, paragrafi, sezioni, annessi, appendici, allegati di un determinato documento e altro 
materiale accfuso richiedano classificazioni differenti: ini tal caso, all'insieme del documento viene attribuita la classifica 
zione dell'elemento con grado più elevato. 


1l grado di classificazione attribuito a una lettera) 0 nota cui è accluso altro materiale corrisponde a quello dell'elemento 
actiuso con grado più elevato. L'originarore indica chiaramemie il grado di classificazione da attribuire alla lettera o nota 
quando è separata dal materiale accluso. 


L'accesso del pubblico continua ad‘essere disciplinato dal regolamento (CE) n. 1049/2001, 


17,3, Declassamento € declassificazione 


Y documenti classificati UE possono essere declassati o declazsificati unicamente con il consenso dell'originatore e, se 
necessario, previa discussione con le altre parti interessate. ]l declassamento o la declassificazione sono confermati per 
iscrimo. L'originatore è\tenuto ad informare i destinatari del cambiamento di classificazione e questi ultimi sono a loro 
volta tenuti ad informarne i destinatari successivi aj quali hanno trasmesso l'originale o una copia del documento. 


Nella misura del possibile, l'originatore indica sul documento classificato Ja data, un termine o un evento a partire dal 
quale le informazioni in esso contenue potranno essere declassate o declassificate. In caso contraria, esso verifica almeno 
ogni cinque anni che la classificazione iniziale del documento sia tuttora necessaria. 


18. SICUREZZA MATERIALE 


18.1. Considerazioni generali 


Scopo principale delle misure di sicurezza materiale è di evinare che le persone non autorizzate abbiano accesso alle 
informazioni efa al materiale classificato UE, di prevenire il furto e la manomissione di attrezzature e altri beni, nonché di 
impedire che il personale n altri agenti © visitatori vengano molesiati è aggrediti. 
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18.2. Requisiti di sicurezza 


Tuni i locali. zione, edifici. uffici, stanze, sistemi di comunicazione e d'informazione, ecc. in cui sono custoditi e/o irantati 
informazioni e materiale classifica DE sono protetti da adeguate misure di sicurezza maleriale. 


Per la decisione sul grado di proiezione materiale necessaria occorre tener conto di 1utti i fanori penineni. quali; 
a} il grado di classificazione dell'informazione efo del materiale: 
DI la quantità e la forma (ad esempio supporto cartaceo, mezzi di archiviazione elertronica) delle informazioni derenute: 


c) la minaccia in loco rappresentata da servizi segreti che prendono di mira VUE, gli Stati membri efo alte istitozioni 0 
terzi in possesso di informazioni classificate VIE, nonché segnatamente da anti di sabotaggio, terrarismo)e altri atti 
sovversivi efo criminali. 


Le misure di sicurezza materiale applicate sono vole a: 


a) impedire agli intrusi l'ingresso fraudolento è con la forza; 


b} dissuadere. impedire e scoprire azioni da parte di personale in malafede: 


c} impedire l'accesso a informazioni classificate LIE a coloro che non hanno necessità di sapere. 
18,3, Misure di sicurezza materiale 


18.31. Zone di sicurezza 


Le zone in cui sono rramate è custodite le informazioni classificate UE RISERVATISSIMO a di prada superiore sono 
organizzate. € strutturate in modo da corrispondere a uno dei seguenti parametri: 


CI 
a} zona di sicurezza di categoria li zona in cui sono trattate/e custodite informazioni UE RISERVATISSIMO @ di grado 
superiore in modo che l'ingresso in tale zona rappresenti, a tutti i fini pratici, l'accesso alle informazioni classificate. Per 
tale zona cccornre prevedere: 


i) un perimetro chiaramente delimitato e protetto) attraverso cui controllare tutti gli ingressi e le uscite: 


i) un sistema di controllo all'entrata che consenta l'ingresso solo alle persone in possesso di debito nulla osta di 
sicurezza ed espressamente autorizzate. ad\emirare in tale zona; 


iii) la specificazione della classificazione ‘attribuita all'informazione normalmente custodita nella zona in questione, 
bssia l'informazione cui si accede ‘enttando in tale zona; 


B) zona di sicurezza di categoria Il: zona.in cui sono tramate e custodite informazioni UE RISERVATISSIMO o di grado 


superiore in modo da proteggerle dall'accesso di persone non autorizzate mediante controlli imerni, ad esempio edifici 
in cui si rovano gli uffici m cui vengono di solito trattate e custodite le informazioni UE RISERVATISSIMO a di grado 
superiore. Per tale zona occorre) prevedere: 


i) un perimetro chiaramente delimitato e protero attraverso cui controllare tutti gli ingressi e le uscite: 


ii) un sistema di controllo all'entrata che consema l'ingresso senza storta solo alle persone in possesso di debito nulla 

osta di sicurezza ed'espressamente autorizzate ad entrare in tale zona. Per tutte le altre persone occorre prevedere 

‘scorte 0 controlli(equivalenti per evitare l'accesso nom autorizzato alle informazioni classificate UE e l'ingresso non 
controllato a zone sogpete a ispezioni tecniche di sicurezza. 


Le zone nonfocchpate da personale in servizio 24 ore al giorno sono ispezionate immediatamente dopo il normale 
orariò di lavoro per garantire che le informazioni classificate UE siamo correttamente proterie. 
1B,3.25 Zona amministrativa 


In ‘prossimità delle zone di sicurezza di calegoria | e Îl o per accedere a tali zone, può essere creala una zona 
amministrativa con minor livello di sicurezza. Qccarre prevedere un perimetro chiaramente delimitato per l'ispezione del 
personale è dei veicoli. Nella zona amminisirativa possono essere trattate e cusiodite solo informazioni classificate UE 
RISERVATO © non classificate. 
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1B,3,3, Conmrolli all'entrata c all'uscita 


L'ingresso alle zone di sicurezza delle categorie 1 e Dè comrollao da un lasciapassare o da un sistema di riconoscimento 
personale che si applica all'insieme del personale che presta regolarmente servizio în queste zone. È alivesi predisposto dl 
sistema di controllo dei visitatori al fine di impedire l'accesso non autorizzato ad informazioni classificare UE. + sistemi di 
lasciapassare possono essere completati da alti di identificazione automatizzata, senza che ciù sostituisca rolalmete.le 
quardie di sicurezza. Uma muodilica nella valutazione del rischio può comportare un rafforzamento delle nvisune, di 
comrallo delle emrate e delle uscite, per esempio duraniv le visite di personalità. 


183.4, Ronde di controllo 


Le ronde di controllo delle zone di sicurezza di caeporia 1 e Il vengono effettuate al di fuori del normale orario di lavoro 
per proteggere i beni dell'UE dal rischio di manomissioni. danni o perdite. Le ronde sona effettuate secondo una frequenza 
dererminata dalle circostanze locali ma, indicativamente. opni due ore. ì 


15.1,5, Comenitori di sicurezza e camere blindate 


Le informazioni classificate UE sono custodite in comenitori suddivisi in tre categorie: 


+ careporia A: contenitori approvati a livello nazionale per custodire informazioni classificate UE SEGRETISSIMO nelle 
zone di sicurezza delle categorie ] e II, 


— categoria B: contenitori approvati a livello nazionale per custodire informazioni classificate UE SEGRETO e UE 
RISERVATISSIMO nelle zone di sicurezza delle caregarie | e Il, 


— categoria C: mobili da uflicio atti a custodire ses le informazioni, classificate UE RISERVATO. 


Nelle camere blindate costruite in una zona di sicurezza della categoria] o Il, e in tutte le zone di sicurezza della categoria 
I in cui le informazioni classificate VE RISERVATISSIMO c di prado/superiore sono custodite in scaffali aperti © in cui si 
visualizzano prospetti, piantine, ecc., le pareti, il pavimento edi soffitto, la 0 le porie provviste di serratura o serrature 
sono omologate dalla SAA per garantire che offrano una protezione equivalente alla categoria di contenitore di sicurezza 
approvato per custodire informazioni con lo stesso grado di classificazione. 


18.36, Dispositivi di chiusura 


I dispositivi di chiusura utilizzati per i contenitori di sicurezza e le camere blindate in cui sona custodire informazioni 
classificate UE devono soddisfare i seguenti requisiti: 


.— gruppo A: approvati a livello nazionale per comenitori della categoria A, 
— gruppò B: approvati a livello nazionale per comenitori della categoria B, 


— gruppo €: idonei solo per ì (mobili da ufficio della categoria C. 


18,37. Controllo delle chine) delle combinazioni 


Le chiavi dei contenifori di sicurezza non possono essere asportate dagli edifici della Commissione. La combinazione dei 
contenitori di sicurezza\deve essere conosciuta a memoria dalle persone che ne fanno uso. Il responsabile della sicurezza a 
livello locale pressa il servizio interessato ha la responsabilità delle chiavi di riserva e di una traccia scritta di tutte le 
combinazioni, conservate in singoli plichi opachi sigillati, di cui far uso în caso di emergenza. Le chiavi, le chiavi di riserva 
e le combinazioni sono custodite in contenitori di sicurezza separati. Le chiavi e le combinazioni ricevono almeno la 
stessa protezione riservata al materiale cui dammo accesso. 


La combinazione dei contenitori di sicurezza è portata a conoscenza del minor numero di persone possibile. Le 
combinazioni vengono sostituite: 


a) al ricevimento di ogni nuovo comenitore: 
hY/ad ogni cambiamenin di personale: 
©) ad ogni manomissione effettiva 0 sospentata 


di ad intervalli possibilmenie semestrali, e per lo menn ogni dodici mesi. 
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18.3,8. Dispositivi per il rilevamento di iniusi 


Quande le informazioni classificate LIE sono protette da sistemi di allarme, televisione a circuito chiuso e altri dispositivi 
elettrici, si prevede un'eropazione di elettricità di emergenza per garantire il funzionamento inimierrotio det siena in 
caso di avaria del sistema centrale. È altresì indispensabile che in caso di disfunzione o di manomissione di detti sistemi, 
venga attivato un allarme o un altro segnale affidabile per il servizio di sicurezza. 


16.3.$. Attrezzatura epprovala 


L'ufficio di sicurezza della Commissione mantiene elenchi aggiornati, suddivisi per tipo e modello, dell'airezzarora di 
sicurezza approvata per la protezione delle informazioni classificate in varie circostanze e condizioni specificate. Questi 
elenchi sono compilati sulla hase. tra l'altro, delle informazioni (omite dalle NSA. 


18.3.10, Prowezione mareriale delle fotocapiamici © dei fax 


Le fotocopiatrici e i Fax sono protetti materialmente per quanto necessario a garantire che solo le persone autorizzate 
possano usarli e che tutti i documenti classificati da essi prodotti siano soggeni a opportuni controlli. 


18,4, Protezione contro sguardi e ascolti indiscreti 


184.1. Squardì indisorati 


Per garantire che le informazioni classificate UE non siano visionale, anthe ‘accidentalmente, da persone non autorizzate, 
devono essere prese tutte le misure appropriate, sia di giorno che‘di notte. 


18.4,2, Ascolti indiscreti 


Gli uffici o le zone in cui si discumono regolarmente informazioni classificate UE SEGRETO o di grado superiore sono 
protetti dall'ascolto indiscreto attiva e passivo qualora il rischio lo giunifichi. La valutazione del rischio di rale evermualità 
spena all'ufficio di sicurezza della Commissione, evemualmente previa consultazione delle NSA. 


18.4.3. Introduzione di apparecchi elettronici e di vepisrrazione 


È vietato introdurre telefoni cellulari, compurer-portatili, registratori, apparecchi fotografici e altri dispositivi elenronici o 
di registrazione nelle zone di sicurezza o nelle zone tecnicamente sicure senza previa autorizzazione del capo dell'ufficio 
di sicurezza della Commissione. 


Per decidere le misure di protezione che occorre prendere nei locali che possono essere soggetti ad ascolto indiscreto 
passivo {per esempio, isolamento dei muri, delle porte, del pavimento e del soffitto, misurazione delle emissioni 
compromettenti) e all'ascolto indiscreto anivo {per esempio, ricerca di microfoni), l'ufficio di sicurezza della Commissione 
può chiedere l'assistenza di esperti delle NSA. 


Parimenti, su richiesta del capo dell'ufficio di sicurezza, quando le circostanze lo rendano necessario, specialisti della 
sicurezza tecnica delle NSA possono ispezionare il materiale per le relecomunicazioni e qualsiasi tipo di attrezzatura 
elettrica © elettronicé\da ufficio utilizzata durame le riunioni di livello UE SEGRETO e di grado superiore. 


18.5. Zone iecnicamente sicure 


Talune zone possono essere designate come «zone tecnicamente sicure» Per queste zone è previsto un controlla speciale 
all'ingresso; Quando non vengono accupate, tali zone sorio chiuse a chiave mediante una procedura convenuta, e tutte le 
chiavi ono considerate chiavi di sicurezza. Queste zone sono soggette a regolari ispezioni maleriali, cui si procederà 
anche dopo ogni inpresso non auinrizzaro, effettivo © sospettatò. 


Si procede ad un inventario particolareggiato dell'attrezzatura e dei mobili per conirollame la movimentazione. In queste 
Zone non possono essere introdotti mobili @ altra attrezzatura che non siano siati precedentemente verificati con cura dal 
personale di sicurezza avente una formazione specifica per rilevare qualsiasi meccanismo di ascolto. Come regola penerale, 
nelle zone tecnicamente sicure è vietata installare linee di comunicazione, salva previa autorizzazione da parte dell'auto 
rilà competente. 
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19. REGOLE GENERALI RELATIVE AL PRINCIMIO DELLA NECESSITÀ DI) SAPERE E AL NULLA OSTA DI SICUREZZA 


19.1. Considerazioni generali 


L'accesso alle ICUE è consentiro solo alle persone <he hanno necessità di sipere: per lo svolgimento delle loro finzioni è 
missioni, L'accesso alle informazioni UE SEGRETISSIMO, UE SEGRETO e UE RISERVATISSIMO î autorizzato lsole)per le 
persone in possesso dell'apposita nulla vsta di sicurezza. 


La responsabilità di determinare la «necessità di sapere spetta al capo del servizio presso il quale (l'interessato deve 
lavorare. 


Spetta a ciascun servizio fare richiesta di nulla esta per il proprio personale. 


Tale procedura si conclude con il rilascio di un smulla osta di sicurezza» in cui è specilicato ilgrado di classificazione delli 
informazioni cui la persona abilitata ha accesso e la data di scadenza di tale nulla osta. 


Un nulla osta di sicurezza per un determinato grado di classificazione può conferire al vitolare il dirimo di accesso ad 
informazioni classificate di grado inferiore. 


Le persone che non sono funzionari o altri agenti delle istituzioni dell'UE. quali ad esempio contraenti, esperti o 
consulenti con cui possa essere necessario discutere informazioni classificate LIE, n ai quali tali informazioni debbano 
essére mastrate, devono possedere un nulla osta di sicurezza per le informazioni classificate VE ed essere istruite quanto 
alla loro responsabilità in materia di sicurezza. : 


L'accesso del pubblico continua ad essere disciplinato dal regolamento (CE) n. 1049/2001. 


19.2. Regole particolari sull'accesso alle informazioni VE SEGRETISSIMO 
La persona che deve accedere ad informazioni UE SEGRETISSIMO vi è autorizzata solo previa indagine. 


La persona che deve accedere ad informazioni UE SEGRETISSIMO è designata dal membro della Commissione compe- 
tente in materia di sicurezza e il suo nominativo è inserito nell'apposito repisito UE SEGRETISSIMO. Tale registra è 
compilato e tenuto dall'ufficio di sicurezza della Commissione. 


Prima di accedere alle informazioni UE SEGRETISSIMO, la persona in questione deve firmare un certificato in cui dichiara 

* di essere stata istruita sulle procedure della Commissione in materia di sicurezza e di essere pienamente consapevole della 
responsabilità che le incombe quanto alla ‘protezione delle informazioni UE SEGRETISSIMO nonché delle conseguenze 
previste dalle norme UE e dalle normedlegislative o amministrative nazionali qualora informazioni classificate vengano 
divulgare "a persone non autorizzate \intenzionalmente o per negligenza. 


Per le persone che hanno accesso #iriformazioni UÉ SEGRETISSIMO nel corsa di riunioni, ecc., il funzionario di comtrollo 
competenie del servizio 0 dell'organismo presso il quale dette persone sono assunte notifica all'organizzatore della 
riunione che le persone in, questione sono debitamente autorizzate a parteciparvi. 


ll nominativo della persona che cessi di svolgere funzioni per le quali è richiesto l'accesso ad informazioni VE 
-SEGRETISSIMO è rimosso dall'elenco VE SEGRETISSIMO. Inoltre, la sua attenzione è nuovamente richiamata sulla 
responsabilità partitalare che le incombe quamo alla protezione delle informazioni UE SEGRETISSIMO. Essa è anche 
tenuta a firmare ina dichiarazione in cui si impegna a non utilizzare è divulgare le informazioni UE SEGRETISSIMO in 
SUO possesso, 


19.3. Regole particolari sull'accesso alle informazioni UÈ SEGRETO e UE RISERVATISSIMO 


La ‘persona che deve accedere ad informazioni UE SEGRETO e VE RISERVATISSIMO vi è autorizzata solo previa Indagine. 


La ‘persona che deve accedere ad informazioni UE SEGRETO e UE RISERVATISSIMO deve essere a conoscenza dell: 
pertinenti norme di sicurezza ed essere consapevole delle conseguenze di un ati di negligenza. 


Per le persone che harino accesso ad informazioni UE SEGRETO e UE RISERVATISSIMO nel corso di riunioni, ecc., il 
funzionario di controllo competente del servizio o dell'organismo presso il quale dette persone sono assunte notifica 
all'organizzatore della riunione che le persone in questione sono debilameme autorizzate a paneciparvi. 
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19.4. Regole particolari sull'accesso alle informazioni UE RISERVATO 


La persona che ha accesso ad informazioni UE RISERVATO viene messa a conoscenza delle presenti morme di sicurezza © 
delle conseguenze di un anv di negligenza. 


19.5. Trasferimenti 


Quando un membro del personale è trasferito da un posto che compona il trattamento di materiale classificano VIE, 
l'ufficio di registrazione provvede al corretto trasferimento di dena materiale dal funzionario uscente al funzionario 
entrante. 


Quando un membro del personale è trasferito ad un aliro posto che comporta il trattamento di maleriale)vlassificaro UE, 
il responsabile della sicurezza a livello locale provvede ad impartirgli le debite istruzioni. 


19.6. Istruzioni particolari 


La persona che deve trariare informazioni classificate UE deve essere messa a conoscenza, all'arno dell'assunzione © 
successivamente con periodicità, di quanto segue: 


a) j pericoli per la sicurezza derivanti da conversazioni indiscrete, 
b} le precauzioni da prendere nei rapporti con la stampa e con rappresentami\di particolari gruppi d'interessi: 


c) la minaccia rappresentata dalle attività di servizi segreti che prendono di\mira I'UE e gli Stati membri per quanto 
riguarda le informazioni e le anività classificate UE: 


dì. l'obbligo di riferire immediaramente alle competenti autorità di sicurezza in merito a qualsiasi approccio 0 manovra 
che possa destare sospetti su un'eventuale attività di spionaggio 0 a qualsiasi circostanza inabituale in fano di 
sicurezza. 


Tutti coloro che sono abitualmente esposti a frequenti contatti con rappresentanti di paesi i cui servizi sepreti prendono di 
mira l'UE e gli Stati membri per quanto riguarda le informazioni ele amtività classificate UE vengono istruiti sulle recniche 
notoriamente impiegate dai vari servizi segreti. ° 


Non esistono norme di sicurezza della Commissione per giianto riguarda i viagpi personali verso qualsiasi destinazione 
effettuati da personale abilitato all'accesso a informazioni classificate UE. L'ufficio di sicurezza della Commissione, tuttavia, 
informa i funzionari e altrì agenti di cui è responsabile in\merito alle disposizioni in materia di viaggio cui possona essere 
soggetti. . 


20. PROCEDURA PER IL RILASCIO DELUNULLA OSTA DI SICUREZZA AI FUNZIONARI E ALTRI AGENTI DELLA 
COMMISSIONE 


a) Hanno atcesso alle informazioni classificate in possesso della Commissione soltanto i funzionari e gli altri agenti della 
Commissione 0 le persone che lavorano in seno alla Commissione che, a motivo delle loro funzioni e per esigenze di 
servizio, abbiano bisogno di renderne visione o di effettuame il trattamento. 


b) Per poter accedere alle informazioni classificate UE SEGRETISSIMO, UE SEGRETO e UE RISERVATISSIMO, le persone 
di cui alla lerrera a} devono Essere state autorizzate a tal fine secondo la procedura di cui alle lettere c} e d} della 
presente sezione. 


‘ €) 11 nulla osta di sicurezza è rilasciato soltanto alle persone che sono state opgetto di un'indagine di sicurezza da parte 
delle autorità nazionali competenti degli Stai membri {NSA} secondo la procedura di cui alle lettere da i) a n). 


d) Il capo dell'ufficio di sicurezza della Commissione è competente per il rilascio del nulla osta di sicurezza di cui alle 
lettere a), bj\e.c}, 


e) ll capo dell'ufficio di sicurezza della Commissione rilascia tale nulla osta previo parere delle autorità nazionali 
competenti depli Stati membri sulla base dell'indagine di sicurezza condora conformemente slie lettere da i} a n}. 


f L'uffitiodi sicurezza della Commissione tiene un elenco aggiornato di tutti i posti sensibili, comunicati dai rispettivi 
sénvizi della Commissione, e di tume le persone cui è stato rilasciato un nulla osta di sicurezza ftemporaneo). 


(2) Ienolla osta di sicurezza, che è valido per un periodo di cinque anni, non può avere durata superiore a quella delle 
funzioni che ne hanno giustificato il rilascio. Esso può essere rinnovato secondo la procedura di cui alla lettera e}. 


h} li nulla osta di sicurezza è revocato dal capo dell'ufficio di sicurezza della Commissione ove questi ritenga che ve ne 


sia fondato motivo. La decisione di revoca è notificata alla persona interessata, che può chiedere di essere ascoltata dal 
capo dell'ulficia di sicurezza della Commissione, nonché all'amorità nazionale competente. 
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î) L'indagine di sicurezza È effenuata, con la collaborazione della persona imeressata e su richiesta del capo dell'ullicio di 
sicurezza della Conmmissione, dalle autorità mazionali vampeienti della Siato membro di cui l'imeressao è cittadino. 
Se la persona interessata non ha la cittadinanza di uno Staio membro dell'UE, il capo dell'ufficio di sicurezza della 
Commissione chiede che a svolgere l'indagine di sicurezza sia lo Stato membro dell'UE in cui l'interessato ha eletto 
damicilio 0 risiede abitualmente. 


i) Ai fini dell'indagine la persona interessata è 1enuta a compilare un modulo informativo individuale. 


k) Nella richiesta il capo dell'ufficio di sicurezza della Commissione specifica il ipo e il grado di classificaziti» delle 
informazioni a cui la persona imeressara dovrà accedere, per consentire alle autorità nazionali competenti di svolgere 
l'indagine ed esprimere un parere relativameme al grado di abilitazione da rilasciare alla persona i questione. 


1} Sia Jo svolgimento che i risultati della procedura «indagine sono soggetti alle pertinenti disposizioni legisiaive e 
amministrative vigenti nello Sato membro interessate. comprese quelle relative agli evemuali mezzi di impuenazione. 


m) Sele autorità nazionali comperenti degli Stati membri esprimono parere positivo, il cano dell'ufficio di sicurezza della 
Commissione può rilasciare il nulla osta alla persona interessata. 


n} Se le autorità nazionali competenti esprimono parere nepalivo, la persona imeressata éLinlormata di tale parere è può 
chiedere di essere ascoltata dal capo dell'ufficio di sicurezza delli Commissione. dl \ capo dell'ullicio di sicurezza della 
Commissione può, se lo ritiene necessario, rivolgersi alle autorità nazionali competemi per chiedere i chiarimenti 
complementari che siano in grado di fornire. In caso di siconferma del parere negativo, il nulla osta non può essere 
rilasciato. 


0) Ogni persona che abbia cottenvio il nulla osta a norma delle lettere dibed e) riceve, al momento del rilascio dei 
medesimo e successivamente ad intervalli repolari, le necessarie istruzioni concernenti la proiezione delle informazioni 
classificate e le modalità per parantiria. Essa Îirma una dichiarazione‘in cui conferma di avere ricevuto tali istrezioni e 
di impegnarsi a rispertarie. 


pì It capo dell'ufficio di sicurezza della Commissione adotta le misure necessarie per amuare le disposizioni della presente 
sezione, in particolare per guanto riguarda le norme in/miateria di accesso all'elenco delle persone abilitate. 


g) In via eccezionale e per esigenze di servizio, il capo dell'ufficio di sicurezza della Commissione, previa notificazione 
delle autorità nazionali competenti e in mancanza di reazioni da parte di queste ultime entro il termine di un mese, 
può rilasciare un nulla osta a tirolo temporaneo fer'un periodo non superiore a sei mesi, in attesa Cell'esito 
dell'indapine di cui alla Îenera Î. 


n) ) nulla osta provvisori e temporanei rilasciati nof danno accesso alle informazioni UE SEGRETISSIMO: tale accesso è 
limitato ai funzionari che siano stati effettivamente sottoposti a un'indagine di sicurezza con esito positivo. ai sensi 
della lettera i). In amesa dell'esito dell'indagine; i funzionari per i quali è stato richiesto un nulla osta di sicurezza al 
grado UE SEGRETISSIMO possono essere )abilitati in via temporanea e provvisoria ad accedere a informazioni 
classificate fino al grado UE SEGRETO iricluso. 


(21. ELABORAZIONE, DISTRIBUZIONE, TRASMISSIONE, SICUREZZA DEL PERSONALE DEI CORRIERI, COPIE, 
TRADUZIONI ED ESTRATTI DI DOCUMENTI CLASSIFICATI DE 


21.1. Elaborazione 


1. Le classificazioni UE sono apposte secondo le disposizioni della sezione 16: le classificazioni UE RISERVATISSIMO e di 
grado supetiote figurano sulla parte superiore e inferiore di ogni pagina, al cemiro: ogni pagina è numerata. Ciascun 
documento \classilicato UE reca un numero di riferimemo e una deta. Nei documenti LIE SEGRETISSIMO e LE 
SEGRETO numero di riferimento figura su ciascuna pagina. Qualorai documenti siano distribuiti in più esemplari, 
opnono di essi recaun numero di copia che figure sulla prima pagina, a fianco del numero totale di pagine. Tutti gli 
allegative il rmateriale accluso sono elencati dl prima pagina dei documemi classificati LIE RISERVATISSIMO a) di 
prado superiore. 


2. documenti classificati UE RISERVATISSIMO o di prado superiore sono dattiloscrinii, tradoni, archiviati, forocopiati, 

‘ riprodotti su supporto magnetico o microfilm soltanto da persone che hanno ricevuto il nulla osta di sicurezza per 

l'accesso alle informazioni classificate UE per un grado almeno pari alla classificazione di sicurezza del documento in 
questione. 


3. Le disposizioni che disciplinano Ja produzione informatica di document classificati sona riportate nella sezione 25. 
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21.2. Distribuzione 


1. Le informazioni classificate LFE sono distribuite solo alle persone aventi necessità di sapere e che hanno ricevute 
l'apposito nulla osta di sicurezza. La distribuzione iniziale è specificata dall'originatore. 


2.1 documenti UE SEGRETISSIMO sono distribuiti iramite gli ullici di registrazione DE SEGRETISSIMO {cfr punto 22.2). 
Per i messaggi UE SEGRETISSIMO l'ufficio di registrazione comperente può awtorizzare il responsabile del contredgi 
comunicazioni a produre il numero di empie specificato nell'elenco dei destinatari. 


3,1 documenti chissificati VIE SEGRETO o di prado inferiore possono essere ridisiribuiti dal destinatario iniziale ad alrvi 
destinatari in base alla necessità di sapere. Le autorità d'origine ruiavia indicano chiaramente opni liniitazione che 
desiderano imporre. In presenza di tali limitazioni i destinatari possomo ridistribuire i documenti sola ront'anorizza 
zione dell'amorità d'origine. 


4. Ogni documento classificaro UE RISERVATISSIMO © di prado superiore viene registrato, all'emirata re all'oscita dalla DG 
o dal servizio. dall'ufficio di registrazione locale. | demapli da annotare friferimenti, dara e, sé dé caso, numera della 
copia) sono tali da consentire l'idemificazione dei docamemi e sono iscrini in un repertorin 6 vepistrati sc un supporiy 
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informatico appositamente protetto {cfr pumo 201: 


21.3, Trasmissione di documenti classificati UE 


21.31. Plico, ricevuta 


1. 1 documenti classificati UE RISERVATISSIMO © di praio superiore fono Wwasmessi in buste doppie, resistenti, opache. 
La busta imerna reca la peminente classificazione di sicurezza UEje, ave possibile, i dari completi delli tunzione. del 
titolo è dell'indirizzo del destinatario. 


2. Solo il funzionario di comrollo dell'ufficio di registrazione {ele punto 22.1), o il suo sostituia, può aprire la busta 
interna e accusare ricevuta dei documenti che contiene. a meno che essa sia indirizzata ad una persona determinaia. In 
tal caso îl competente ufficio di registrazione (cfr. punto 22.1) registra l'entrata della busta e soltanto la persona cui 
essa è indirizzata può aprire la busta interna € accusare ricevuta dei documenti in essa contenuti. 


3. Nella busta interna viene inserito un modulo di ricevuta. che non viene classificato, indicante il numere di riferimenta, 
la dara e il numero di copia del documento Gna in nessun caso l'oggetto del comuenuro. 


© 4. La busta interna è inserita in una busta esterna recamte un numero di plico ai fini della ricevuta. In nessun case Ja busta 
esterna reca la classificazione di sicurezza. 


.5. Per i documenti classificati UE RISERVATISSIMO o di grado superiore, viene consegnata al messo una ricevuta con il 
numero di plico. 
21.3.2. Trasmissione all'interno di'un edifiao 0 di un gruppo di edifici 


All'interno di un determinato edificio 0 gruppo di edifici, i documenti classificati possono essere trasportati in una busta 
sigillata recante unicamente il nome del destinatario, purché il traspono sia effettuato direttameme da una persona 
abilitata al prado di\classificazione dei documenti. 


21.33. Trasmissione all'inserno di un paese 


1. Alfimemo di un paese i documenti UE SEGRETISSIMU devona essere inviati solo per mezzo di un servizio ufficiale di 
. pnessaggeria © tramile persone autorizzate ad accedere ad informazioni UE SEGRETISSIMO. 


2, Per il ricorso a un servizio di messapperia in caso di irasmissione di un documento LIE SEGRETISSIMO al di fuori di un 
edificio © di un pruppo di edifici. devono essere rispettate le disposizioni relative al plico c alla ricezione di cui al 
preseme capitolo. L'organico dei servizi di messapperia dev'essere tale da garantire che i plichi comenenti documenti 
LIE SEGRETISSIMO siano in ogni momento sorto la supervisione diretta di un funzionario responsabile. 
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3. In via eccezionale | documenti VE SEGRETISSIMO possono essere irasporiati da fenzionari, non appanenenti a un 
servizio di messaggeria. al di luori di un edificio è gruppo di edifici per la loro utilizzazione in loco nel corse di 
riunioni è discussioni, purché: 


2) il datore sia abilizato nl accedere a documen VE SEGRETISSIMO: 


b) il modo di irasporio sia conforme alle norme nazionali che disciplinano la irismissione di documenti nazionali 
«sepretissimi»: 


atei 


ch in nessima circostanza 1 documemi UE SEGRETISSIMO siano lasciavi incustoditi: 


di si prendano disposizioni affinché l'elenco dei iovomenti trasportati in tal mado sia iscritto presso l'uiivio di 
registrazione UE SEGRETISSIMO vhe detiene i dementi c im un apposito reperiorio e sio ricomrallaro all'atto della 
riconsegna. 


4. All'imemo di un paese, i dorumenti UE SEGRETO e UE RISERVATISSIMO possono essertspedili sia per posta. sv ale 
tipo di trasmissione è consentita in base alle norme nazionali ed è conforme a deté norme, o iramie sevizio di 
messaggeria oppure allidandoli a persone abilitate all'accesso alle informazioni classificate UE. 


(5. L'ufficio di sicurezza della Commissione elabora istruzioni per il personale checirasporta documenmi classifica:: UE in 
base alle presenti norme. I} lamore è renuto a leggere è firmare rali istruzioni, le quali stabiliscono, in panicalare. che in 
nessun caso i documenti: 


a) siano lasciati dal Jatore. a meno che siano custeGiti in moda sicura ai\sensi delle disposizioni delia sezione 18: 


b} siano lasciati incusiadii su mezzi di trasporto peSSlico a all'imérandi veicoli privati, o in luophi quali riscrami a 
alberghi. Essi non possono essere depositati nella cassaforte \depli alberghi o restare incustoditi nelle camere: 


€) siano letti in luoghi pubblici quali aeromobili < treni, 


21,34, Trasmissione da uno Stalo all'altro 


1. Il materiale classificato UE RISERVATISSIMO(O di prado superiore è irasferito mediame valigia diplomatica « corriere 
militare. 


2. Tuttavia il trasporto personale di materiale classifizaro UE SEGRETO e UE RISERVATISSIMO è comsemio se le 
modalità di irasporio sono tali da garantire che dero materiale non possa cadere nelle mani di persone non 
autorizzate. 


3. HI meinbro della Commissione competente in materia di sicurezza può autorizzare il trasporto personale quando la 
valigia diplomatica e il corriere militare non siano disponibili o quando il ricorso a iali mezzi di trasponu comsani un 
ritardo che sarebbe dannoso per le ‘operazioni dell'UE, nonché quando il materiale sia richiesto urgememente dal 
destinatario designato. L'ufficio di sicurezza della Commissione prepara istruzioni per il trasporto personale internazio. 
nale di materiale classificato fino al grado di UE SEGRETO incluso, effenuato da persone che non siant corrieti 
diplomatici o miliari. Ai sensi di tal istruzioni: 


a) il latore deve avere il pertinente nulla osta di sicurezza: 
b) il maserialevirasporiato è registrato nel compereme servizio o ulficio di registrazione; 


c} + plichio te valigie contenenti materiale LIE recano un sigillo ufficiale onde evitare 0 scoraggiare un'ispezione 
doganale, nonché etichene con l'identilicazione € istruzioni per chi ritrova il materiale: 


di Hlatore è munito di un cenificaro di corriere «fo di un ordine di missione, riconosciuio da avvii gli Stati dell'UE che 
lo autorizza a trasportare il plico specificato: 


e) in caso di viaggio via ierra non viene antraversate alcun paese terzo, né la sua frontiera, a meno che lo Sata di 
spedizione mon abbia onenuto una garanzia speciale da pare del paese in questione: 


f} l'organizzazione del viaggio del lavore per quante conceme destinazioni, itinerari € mezzi di iraspone è conforme 
alle norme dell'UE è alle norme nazionali in materia qualira queste siano. più rigorose: 
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il mineriale deve sempre essere detenuto dal latere. a meno che sia custodito ai sensi delle disposizioni relittive alla 
conservazione in luogo sicuro di cui alla sezione 18? 


fi 


h 


il maseriale mon deve essere lascino incusindito in veicoli pubblici n privati in luoghi quali rissoranti è alberghi, 
Esso iton deve essere deposito nella cassotorie degli alberghi è restare incustodito. nelle camere: 


se il materiale frasporiato contiene documenti, questi en devono essere lenti in luoghi pubblivi ad esempio acrei 
ireni, sce.) 


d. La persona addetta al irasporio del materiale ciassificaro deve legpere e firmare un documento recame istruzioni di 
sicurezza in cui ligurino almeno le istruzioni di ui sopra è le procedure da seguire in caso di emergenza o qualora il 
plico comenenie il materiale classificato sia richiesto per accertamenti dai servizi doganali o di sicurezza degli 
aeroporti. 


21.35. Trasmissione di documenti classificati UE RISERVATO 

Non sono previsie disposizioni speciali per il iraspone di documenti UE RISERVATO, ecceltà più quanio riguarda la 
garanzia che non cadano nelle mani di persone nom autorizzate. 

21,4. Sicurezza del personale dei corrieri 

Tuno il personale dei servizi di corriere e di messaggeria addetto al trasporinAdi ‘documenti UE SEGRETO e UE 
RISERVATISSIMO deve essere in possesso del pertinente nulla osia di sicurezza. 

27.5. Trasmissione elettronica e altri mezzi di trasmissione recnica 


]. Le misure di sicurezza delle comunicazioni sono destinare a paranitità la trasmissione sicura delle informazioni 
classificate UE. Le norme panticolaveggiate applicabili aila trasmissione di tali informazioni classificate VIE figurano nella 
sezione 25. 


2. Le informazioni classificate LIE RISERVATISSIMO e LE SEGRETO possono transitare solo attraverso centri è reti di 
comunicazione efo terminali e sistem accreditati. 


21.6. Esemplari supplementari, traduzioni ed estratii di documenti classificati UE 
1. Solo l'oripinaiore può aviorizzare la tiratura colla iraduzione di documenti UE SEGRETISSIMO. 


2, Se persone che non hanno il nulla osta di sicurezza del grado UE SEGRETISSIMO richiedono informazioni le quali, 
sebbene contenuie in un documento UE SEGRETISSIMO, non hanno rale grado di classilicazione, il responsabile 
dell'ufficio di registrazione UE SEGRETISSIMO (cit. punto 22.2) può essere autorizzato a produrre il numero 
necessario di estranti dal documento in questione. Contemporeneamente egli prende le disposizioni necessarie affinché 
8 tali estratti venga attribuita la pertineme classificazione di sicurezza. 


3.1 documenti classificati UE SEGRETO o di grado inferiore possono essere riprodotti e traderti dal destinatario 
nell'ambito delle presenti disposizioni e purché sia rigorosamente rispettato il principio della necessità di sapere. Le 
misure di sicurezza applicabilival documento originale si applicano anche alle riproduzioni efe traduzioni del 
medesimo. 


22. UFFICI DI REGISTRAZIONE DELLE INFORMAZIONI | CLASSIFICATE UE, RASSEGNE, CONTROLLI, 
ARCHIVIAZIONE E DISTRUZIONE DELLE INFORMAZIONI CLASSIFICATE UE 
22.1. Uffici locali dt registrazione ICUE (Informazioni classificate UE) 


‘1. in ogni sefviziò della Commissione uno 0, se necessario, più uffici locali di registrazione ICUE sono respemsabili della 
repistrazione, riproduzione, spedizione, archiviazione Pe distruzione dei documenti classificati UE SEGRETO e UE 
RISERVATISSIMO, 


2. Qualora un servizio non disponga di un ufficio locale di registrazione ICUE, tale ruolo viene svolto dall'ufficio locale 
del‘Segrerariato penerale. 


3. Gli uffici locali di registrazione ICUE riferiscono 2) capo servizio da cui ricevono le istruzioni. A capo degli uffici è il 
funzionario di controllo dell'ufficio di cepistrazione (RCO). 


4. Gli uffici di repistrazione sono soggetti alla supervisione del responsabile Incale della sicurezza per quanis attiene 
all'applicazione delle disposizioni sul trattamento dei documenti ICUE c al rispento delle pertinenti misure di sicurezza. 
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I funzionari destinati apli uffici focali di registrazione ICUE devono essere abilitati ad accedere a rali documenti 
conformemente alla sezione 20. 


Satto li direzione del capo servizio competente. gli uffici locali di registrazione ICUE devono: 


a) pestire le operazioni relative alla registrazione: riproduziane, traduzione, trasmissione. spedizione © distruzione’ di 
tali informazioni; 


b} aggiornare l'olento dei dati relativi alle iniermazioni classificate: 


c) interrogare periodicamente phi origimatori silli necessità di mamienere la classificazione delle ifttmazioni: 


. Gli uffici locali di registrazione ICUE tengono on registro com i seguenti dati: 


a) dara di elalrorazione delle informazioni classificate: 

bi grado di classificazione: 

cì duia di scadenza della classificazione: 

dj name e servizio dell'originatore: 

e) destinamario o destinatari con numero di serie: 

D oggeno: 

pì numero: 

h} numero di esemplari distribuiti: 

) preparazione di inventari delle informazioni classificate sanoposie al servizio: 


Ù) registro della declassificazione 0 declassamento delle informazioni classificate. 


Le norme generali di cui alla sezione 21 si applicano aeli Uffici locali di registrazione ICUE della Commissione, salvo 
altrimenti previsto da norme specifiche della presente sezione. 


4 
22.2. L'ufficio di registrazione UE SEGRETISSIMO 


‘222.1, Considerazioni penerali 


1 


DL 


Un ufficio centrale di regisurazione VE SEGRETISSIMO assicura che i documenti UE SEGRETISSIMO siano registrati, 
trattati e diffusi conformemente alle presenti norme di sicurezza. A capo dell'ufficio di registrazione LE SEGRETIS- 
SIMO è il funzionario di comrello dell'ufficio di registrazione UE SEÉGRETISSIMO. 


L'ufficio centrale di registrazione UE SEGRETISSIMO è la principale autorità della Commissione preposia alla ricezione 
e all'invio e il referente di altre istituzioni della UE. degli Stati membri, delle organizzazioni internazionali e dei paesi 
terzi con cui la Commissione ha concluso accordi sulle procedure di sicurezza per lo scambia di informazioni 
classilicate. 


Se necessario séno\ istituite sotiosezioni degli uffici di registrazione per la pestione interna dei documenti UE 
SEGRETISSIMO: tali sottosezioni dispongono di dati aggiornati relativi alla circolazione di ciascun documenta di loro 
competenza. 


. Le sottosezioni degli uffici di registrazione UE SEGRETISSIMO sono istituite secondo le modalità di cui alta sezione 


22.2.3» per far frome a esipenze di lungo termine e sono aggregare a un ufficio cemirale di registrazione LIE 
SEGRETISSIMO. Qualora debbano essere consultati sota in via lemporanea 0 occasionale, i documenti UE SEGRETIS- 
SIMO possono essere rilasciati senza istituire una sonosezione LIE SEGRETISSIMO, purché vengano stabilite norme 
attesa garaniire che essi rimangano sono il controllo del competente ufficio di registrazione UE SEGRETISSIMO e che 
siano osservme tutte Je misure di sicurezza materiali v relîtive al personale. 


Le sottosezioni degli uffici di registrazione non possone irasmentere documenti UE SEGRETISSIMO direttumente ad 
altre sottosezioni dello stesso ufficio centrale di regivirazione LE SEGRETISSIMO senza l'esplicito accorda di ques'ol- 
limo. 


Tuni gli scambi di documenti UE SEGRETISSIMO fra sottosezioni non aggregare allo stesso ufficio centrale di 
registrazione avvengono iramite pli uffici cemirali di registrazione DE SEGRETISSIMO. 
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222.2. L'ufficio centrale di registrazione LIE SEGRETISSIMO 


In qualità di funzionario di comrollo, il capo di un uffici comtrale di registrazione VE SEGRETISSIMO è responsabile: 


della trasmissione di documemi UE SEGRETISSIMO conformemente alle disposizioni di vui alla sezione 21.3; 


[oi CI) 


della compilazione di un elenco di tutte Je sottosezioni dell'uflicio di registrazione UE SEGRETISSIMO che dipendono 
dal suo ufficio, corredato dei nomi è delle firme dei umzionari di comrello designati e dei loro suppienti utorizzai: 


della conservazione delle ricevute dei registri per tuni i documenti DIE SEGRETISSIMO distribuiti dall'aticio conirole di 
registrazione; 


Bas 


d 


della registrazione di tunti 1 documemi LIE SEGRETISSIMO custoditi e distribuiti: 


è 


dell'aggiornamento costame di un cienco di tuti gli uffici cemtrali di registrazione UE SEGRETISSIMO com cui è 
normalmente in conto. comedare dei nomi e delle firme dei rispettivi funzionari di controllo desighati e dei lore 
supplenti autorizzati: 


f) della protezione materiale di tutti i documenti UE SEGRETISSIMO custoditi pressa l'ufficio di\registrazione vonforite- 
mene alle disposizioni di cui alla sezione 18. 


22.2.3. Somosezioni dell'ufficio di vegismazione UE SEGRETISSIMO 


in qualità di funzionario di comrollo, il capo di una somtosezione dell'ufficio di registrazione UE SEGRETISSIMO è 
responsabile: 


al della trasmissione di documenti UE SEGRETISSIMO conformemente alle disposizioni di cui alla sezione 21.3: 


b) dell'agpiornamento costame di un elenca di tutte le persone autorizzate ad'accedere alle informazioni UE SEGRETIS- 
SIMO di sua competenza: 


c) della distribuzione di documenti UE SEGRETISSIMO secondo le/istruzioni dell'ariginatore o in base al principio della 
necessità di sapere dopo avere accertato che il destinatario, sia fomito del necessario nullaosa di sicurezza: 


d} dell'aggiornamemeo costante di un registro di tutti i documenti UE SEGRETISSIMO custoditi @ cirteanti sotto il suo” 
controllo @ passati ad altri uffici di registrazione UE SEGRETISSIMO e conservazione delle relative ricevute: 


€) dell'apgiornamento costante dell'elenco degli uffici centrati di registrazione UE SEGRETISSIMO con cui è autorizzata a 
scambiare documenti UE SEGRETISSIMO, corredato dei nomi e delle firme dei rispettivi funzionari di controlla e dei 
loro supplenti autorizzati: 


f} della protezione materiale di tutti i documenti UE SEGRETISSIMO custoditi presso la sottosezione dell'ufficio di 
registrazione conformemente alle disposizioni di cui alla sezione 18. 


22.3. Inventari, rassegne e controlli deî\documenti classificati UE 


1. Ogni anno ogni ufficio di registrazione UE SEGRETISSIMO, di cui alla presente sezione, effettua un inventario 
particolareggiato dei documenti UE SEGRETISSIMO. Un documento si considera inventariato quando Fulficio lo 
detiene marerialmente ovvero è. in possesso della ricevuta dell'ulficio di registrazione UE SEGRETISSIMO in cui il 
documento è siaro trasferito 0, del certificato di distruzione del documento stesso o di istruzioni relative al suo 
declassamento o alla sua declassilicazione. | risultati degli inventari annuali sono trasmessi al membre della Commis- 
‘sione responsabile per le questioni della sicurezza entro, al più tardi, il 1° aprile di ogni anno. 


2. Le sottosezioni degli uffici di registrazione UE SEGRETISSIMO trasmettono i risultati dell'inventario annuale all'ufficio 
centrale di regisirazione da cui dipendono in data stabilita da deno ufficio. 


3. | documenti classifitati UE di grado inferiore a UE SEGRETISSIMO sono sopgeni a controlli interni in conformità delle 
. istruzioni dél/membro della Commissione responsabile per le questioni della sicurezza. 


4, Tali operazioni mirano ad onenere il parere dei detentori dei documenti quanto: 
a) alla possibilità di declassare © declassificare determinati documenti; 


bì ai documenti da distruggere. 


22.4. Archiviazione delle informazioni classificate VE 


1. Le ICUE sono archiviate nei rispetto delle pertinenti disposizioni di cui alla sezione 18. 
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2. Al fine di ridurre al minimo i problemi di archiviazione, i funzionari di comrollo di rotti gli uffici di regiarazione sono 
autorizzati a lar microfiimare i documenti VE SEGRETISSIMO, VE SEGRETO e DE RISERVATISSIMO è a farli 
riprodurre SU supporie nugnelito o oflite a fini di grchiviazione, purché; 


a) il processo di waglerimemo su microfilimfdi archiviazione sia eflettuno da personale con pulla osta valido ped il 
corrispondeme prade di classificazione: 


b) il microfiimfmezzo di chiviazione gnda della stessa sicurezza dei datumemi originali: 


c) it irasferimemo su misrolilmfl'archiviazione di veni documento UE SEGRETISSIMO sia comunicarall'oripinaore: 


d) i roroli di pellicola, c g; altri tipi di suppona, romengano solo documenti del medesima grado di classificazione LIE 
SEGRETISSIMO, VE SEGRETO o UE RISERVATISSIMO: 


8) il vrasferimemto su microlilmfl'archiviazione di un documento LE SEGRETISSIMO o UE SEGRETO sia chiaramente 
indicato nel registro csato per l'inventario annuale: 


Cf) i documenti originali (3e sano stati trasferiti su microfilm o archiviati in altro modo siano distruni. conformemente 
alle disposizioni di csi alla sezione 22.5. 


3, Queste norme si applicano altresi a qualsiasi altra forma di archiviazione autorizzata, quali i mezzi eletiramagnetici e i 
dischi oniti. 
22.5. Distruzione di documenti classificati VE 


1. Per evitare l'accumulazione superflua di documenti classificati VE, gli esemplari che il capo dell'istituzione che li 
detiene considera supera! o in soprannumero sono distrutti non appena possibile, nel seguente modo: 


a) i documenti UE SEGRITISSIMO sono distrutti soltamo dall'ufficio centrale di registrazione che ne è responsabile. 
Ogni documemo die vuo viene elenema in un certificato di distruzione, firmaio dal funzionario di controlla VE 
SEGRETISSIMO e dal :2uzionario che assiste alla distruzione il quale deve avere il nulla osta di sicurezza di grado 


UE SEGRETISSIMO. = tal fine nel repenorio viene inserita una nota. 


b) L'ufficio di registrazione tiene i certificati di distruzione, unitamente alle schede di distribuzione. per un periodo di 
dieci anni e né invia copie all'originatore © al pertimeme ufficio centrale di repisirazione solo su richiesta esplicita. 


c) ] documenti VE SEGRETISSIMO, inclusi quelli classificati e por scartati nella fase di preparazione di documenti VE 
SEGRETISSIMO, quali copie rovinate, bozze di lavoro, note dattiloscrine, floppy disk devono essere disirutii sono la 
sorveglianza di un funzionario di contrallo dell'ufficio di registrazione LIE SEGRETISSIMO mediante incenerimento 
o devono essere ridori in pasta, smiinuzzati o alwrimenti ridotti in vna forma irriconoscibile e non ricostituibile. 


2. I documenti VUE SEGRETO sono distrutti dall'ufficio di registrazione che ne è responsabile, sotto la sorveglianza di una 
persona con nulla osta ci sicurezza utilizzando uno dei processi di cui al paragrafo ], lettera c). I documenti VE 
SEGRETO distrutti sonc elencalicin un cenilicaro di distruzione fifmaro, derenuto dall'ufficio di registrazione, 
unitamente alle schede di distribuzione, per almeno tre anni. 


3. I documenti UE RISERVATISSIMO sono distrutti dall'ufficio di registrazione che ne è responsabile, sono la sorve- 

FUR di una persona\con nulla osta di sicurezza, utilizzando uno dei processi di cui al paragrafo ), levrera c). La loro 

istruzione è registrata conformemente alle istruzioni del membro della Commissione responsabile per le questioni 
della sicurezza, 


4.1 documenti DE RISERVATO sono distrutti dall'ufficio di registrazione che ne è responsabile 0 dall'utente, conforme. 
mente alle \isiruzioni de! membro della Commissione responsabile per le questioni della sicurezza. 


22.6. Distruzione ‘in situazioni di emergenza 


in servizi della Commissione predispongono piani, in base alle condizioni vigenti in loco, per la protezione del materiale 
classificano VIE in situazioni di crisi, compresa, st necessaria, la diaruzione di emergenza è piani di evacuazione. Essi 
emanato Je istruzioni che ritengono necessarie per impedire che mformazioni clissificare UE cadano nelle mani di 
persone non autorizzate. 


2. Le disposizioni per la protezione efo la distruzione di materiale VE SEGRETO e UE RISERVATISSIMO in snuazioni di 
erîsi non devono compromettere in alcun modo la proiezione © la distruzione di materiale UE SEGRETISSIMO, ivi 
compresa l'anrezzatura di cilemiura. il cui tranamento è prioritario rispetto aiuto le altre funzioni. 
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3, Le misure da adottare per da protezione e la disruzione dell'aturezzatura di cilratura in situazioni di emergenza sono 
conero n istrozioni ad hoc. 


4. Le istruzioni devono essere comenute in una busta sigillata ed essere disponiloli in loco. Devono essere disponibili 
mezzilsirumenti per la distruzione. 


23, AGSURE DI SICUREZZA DA APPLICARE IN OCCASIONE DI RIUNIONI SPECIFICHE TENUTE RUORI DEI LOCALI 
DELLA COMMISSIONE E CONCERNENTI INFORMAZIONI CLASSIFICATE UE 


23.1. Considerazioni generali 


Quando riunioni della Commissione 0 altre riunioni iniporianti si tengono fuori dei locali della Commissione ed ove le 
particolari esigenze di sicurezza commesse con l'elevata sensibilità delle questioni è delle informazioni discusse lo 
giustifichino, sono adottate le misure di sicurezza descritte in appresso. Tali misure riguardano unitamente la protezione 
delle informazioni classificate UE: porrebbe essere necessario prevedere altre misure di sicurezza) 


25.1 Responsabilità 


23.21, di servizio di sicurezze della Caommussione 


Il servizio di sicurezza della Commissione coopera con le autorità competenti dello Stato membro sul cui terrinorio si 
svolge ia riunione {Stato membra ospitante) per parantire la sicurezza delle nunioni/della Commissione 6 di altre riunioni 
imporianti, nonché della sicurezza fisica dei principali delepati e del loro seguito Per quamo riguarda la salvaguardia della 
sicurezza. esso provvede in particolare: 


a) all'elaborazione di piani atti a contrastare le minacce alla sicurezza e fanfrome agli incidemi comnessi con la sicurezza. 
mediante misure imese in pamicolare a garamine che i documenti classificati LIE siano custoditi negli uflici in 
vonzizioni di sicurezza; 


hi) all'afozione di misure intese a fornire una possibilità di accesso al sistema di comunicazioni della Commissione per la 
ricezione e la 1rasmissione di messaggi classificati UE. Lo Siatò membro ospitante deve fomire inoltre, su richiesta, 
l'accesso a sistemi telefonici protetti. 


Îl servizio di sicurezza della Commissione funge da consulentein materia di sicurezza per la preparazione della riunione e 
invia in leto un suo rappresentante onde fornire. se necessario, assisienza e consulenza al responsabile della sicurezza 
della riunione (MSO) è alle delegazioni. 


Ogni delegazione che prende parte ad una riunione deve designare un funzionario preposto alla sicurezza, incaricato di 
discutere con la rispettiva delegazione le questioniantimenti alla sicurezza e di mantenere i contanti con il responsabile 
della sicurezza della riunione e, se necessario; \con' il rappresentante del servizio di sicurezza della Commissione. 


23.21. Responsabile dello sicurezza delia rione [MSO) 


Dovrebbe essere designato un resporisabile della sicurezza della riunione competente per la preparazione generale è il 
controlio delle misure generiche di situtezza imerna, nonché per il coordinamento con le altre autorità di sicurezza 
interessate. Le misure adottate dal\responsabile della sicurezza sono, di norma, del seguente tipo: 


a) misure di protezione presso la sede della riunione onde scongiurare incidenti che porrebbero compromettere la 
siturezza delle informazioni ‘classificare UE eventualmente utilizzate nel corso della riunione: 


b} controllo del personale cuiè consentito l'accesso alla sede della riunione, alle aree riservare alle delegazioni ed alle sale 
delle conferenze e controllo di tutte le apparecchiature: 


c} costante coordinamenio con le autorità competenti dello Stato membro ospitante e con il servizio di sicurezza della 
Commissione: i 


d) inserimento. nel'dossier della riunione di istruzioni relative alla sicurezza, tenendo in debito conto quanto prescritto 
dalle presenti morme di sicurezza, © qualsiasi alira istruzione relaviva alla sicurezza rilenuta necessaria. 


23.3. Misure di sicurezza 


23,3). Zone di sicurezze 


Sono istiluile le seguenti zone di sicurezza: 


a) una zona di sicurezza di careporia IL comprendente la sala di redazione. gli uffici della Commissione e le apparecchia- 
ture di riproduzione, nonché gli ulfici delle delegazioni a seconda dui casi; 


21-7-2003 Supplemento ordinario alla GAZZETTA UFFICIALE Serie generale - n. 167 


bi una sona di sicurezza di categoria L costituita dalla sala della conferenza e dalle caltine degli imerpreti è dei icenici 
audio: 


d zone amministrativo, comprendenti l'arca stamipo e ke aseo della sede della riunione utilizzate a fini animinigirativi. di 
ristorazione e di allappia, nonché la zona inmmedinamente adiaceme al centro stampa ed alla sede della riunivite, 


23.32. Lusciapassate 


Il responsabile della sicurezza della riunione riloscià appositi badpe secondo le richieste delle delegazioni ein hase alle 
loro esigenze operando, se necessario, una distinzione per l'accesso alle diverse zone di sicurezza( 


Le istruzioni di sicurezza relative alli riunione pavedono che all'interno della sede della riunionè 1uni gli ipieressati 
portine sempre im modo ben visibile i doro buipe. allinché il personale addetto alla sicurezza possa provvedere ai 
necessari controlli. 


Oltre che ai paniecipamii forniti di badge, l'accesso alia sede della riunione è consentiio tal minor numero possibile di 
persone. i! responsabile della sicurezza della riunione consente alle delegazioni nazionali, di ricevere visitatori nel corso 
della ricnione sola dietro richiesta delle stesse delegazioni. Ai visitatori viene rilasciato um apposimn badpe, previa 
compilazione di un lasciapassare recamie il nvine del visitarore e della persona Wisilata. ] visitaiori sono sempre 
‘accompagnati da una guardia di sicurezza o dalla persona visitata, L'accompagnatore)porta il lasciapassare del visitatore è 
lo riconsegna, assieme al badge del visitatore, al personale di sicurezza quando il\visitaiare lascia la sede della riunione. 


23.53. Controllo degli apporecchi foragrafiti © degli appurcechi di registrazione audiovisiva 


a di sicurezza di categoria | è vietmo 


siurre apparecchi fotografici e di registrazione, ad eccezione delle 
iaure dei fmografi e dei tecnici audi 


vamente autorizzati dal responsabile della sicurezza della riunione. 


23.3.4. Controllo di valigie. computer ponazili e pis: 


I deremeri di lasciapassare cui è consentito l'accesso aî una Yona di sicurezza possono di norma inirodurvi senza comralli 
le loro valigie ed i loro computer portatili (solo azioalimentati). | plichi per le delegazioni venpono loro consegnati dopo 
essere sta? ispezionati dal funzionario della delecazione addeno alla sicurezza, controllati medianie apparecchiature 
speciali - anerti dal personale addetta alla sicurezza ‘per verificarne il comenuto. Se il responsabile della sicurezza della 
riunione (2 ririene necessario, si possono prevedere misure più rigorose per il controllo di valigie è plichi 


23,3,5, Sicurezza Wanica 


Un'apposita squadra può parantire Îa sicurezza tecnica della sala di riunione e provvedere inohre alla sorveglianza 
elettronica durante la riunione. 


23.3.6. Documenti delle delegazioni 


Le delepazioni sono responsabili dei documemi ciassificati UE che portano con sé alle riunioni. Sono inoltre responsabili 
della verifica è della/sicurezza di detti documenti durante la foro utilizzazione nei locali ad esse assegnati. Per il trasporio 
di documeni classificati nella e dalla sede della riunione può essere chiesto l'aiuto degli Stati membri ospitanti. 


23.17. Tusiodin dei documenti in luogo sicuro 


Se la Commissione -o le delegazioni non sono in grado di custodire i loro documen classificati secondo le norme 
approvare. possono allidarli in busta sigillata. dieure: ricevuta, al responsabile della sicurezza della riunione, che li 
cuttadis:e in conformità di dette norme. 


23.3.8. Ispezione degli uffici 


I responsabile della sicurezza della riunione provvede a che gli uffici della Comimissione e delle delegazioni siano 
ispezionazi al termine di ogni giornata lavorativa per verificare che rutti i documenti classificari LE siano al sicure. In caso 
conan adotta i provvedimenti necessari. 
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233.0. Eliminazione de rifiuti dassificoti 


Tuni i rifiuti sono trattati come rifiuti classificati DE. per la cui eliminazione vengono forniti alla Commissione e alle 
delegazioni cestini o pacchi della spazzatura. Prima di lasciare i ovali ad essi assegnati, la Commissione e le delegazioni 
portano i loro rifiuti al respemsablile della sicurezza della riunione, che provvede alla loro distruzione sec vo lè 
disposizioni del caso. 


AI termine della riuniote tti i documenti derenuii Jalla Commissione è dalle delegazioni c divenuti superflui sono 
irattati alla stregua di rifiuti. Prima di revocare le misure di sicurezza adottare per la riunione, viene effettuata un'acturma 
ispezione dei locali assegnati alla Commissione ed alle delegazioni. E documenti per i quali era stata limmata unta ficevuta 
sono distruni, ove possibile. come prescritto alla sezione 22.3. 


24, VIOLAZIONE DELLA SICUREZZA E MANOMISSIONE DI INFORMAZIONI CLASSIFICATE LE 


24.1. Definizioni 


Una violazione della sicurezza è la conseguenza di arti o omissioni comirari a una disposizione della Commissione in 
materia di sicurezza, che potrebbero metere a repentaglio n compromettere informazioni classificare UE. 


Le informazioni ciassifivate L'E sono compromesse suando esse. o parte di esse, piungono in possesso di persone nom 
autorizzate, vale a dire sprovviste dell'appropriato nullaosia di sicurezza © che non abbiano la necessità di conte: n 
quando è probabile che si sia verificata tale circostanza. 


Le informazioni classificate UE possono essere COmpramesse per disattenzione negligenza, a seguito di indiscrezioni © 
come conseguenza delle attività di servizi che prendono di mira TUE c,gli\Sati membri, per quamo riguarda le loro 
‘informazioni ed amività classificate UÈ, ovvero di organizzazioni sovversive. 


24.2. Relazioni sulle violazioni della sicurezza 


Tune le persone che iratano informazioni classificae UE devono ricevere informazioni dettagliate sulle toro responsabi- 
lità in questo ambito e devono riferire immediatamente qualsiasi viotazione della sicurezza di cui vengano a conoscenza. 


Ove il responsabile locale della sicurezza o il responsabile della sicurezza della riunione riscontri o sia informato di una 
violazione della sicurezza relutiva ad informazioni classificate UE è della perdita o della scomparsa di materiale classilicato 
UE, adotta tempestivameme provvedimenti miranti\a: 

a} conservare le prove: 

bj accertare i fatti: 

e) valutare è limitare per quanio possibile Vi danni. 

d) impedire che i fatti si ripetano; 


e) informare le autorità competènti delle conseguenze della violazione della sicurezza. 


A tale scopo vengono fomite le seguenti informazioni: 


i) descrizione delle informazioni in questione, loro classificazione, numero di riferimento e numera di esemplare, 
data, originatore,ogretto e finalità del documento: 


ii) breve descrizione delle circostanze in cui si è verificata la violazione della sicurezza, con indicazione della dara e del 
periodo nel guale le informazioni sono stare sogpette al rischio di manomissione: 


ii) se l'originatore sia siaio o meno informarc. 


Non appena informa di una possibile violazione della sicurezza. ciascuna auiorità di sicurezza riferisce immediaramente 
i farti al servizio di sicurezza della Commissione. 


| casi riguardanti informazioni UE RISERVATO deenna essere riferiti solo quando presentino aspelti inconsuai. 


Il miembro della Commissione responsabile per le questioni della sicurezza, informato di una violazione della sicurezza: 
4) ne dà notifica all'autorità d'origine dell'infurmazione classificata in questione: 
bì chiede all autorità competenti in materia di sicurezza di avviare le indagini: 


c) coordina le indapini qualcri sia imeressata più di un'autorità competente in marerià di sicurezza: 
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d} fa stilare una relazione sulle circostanze della violazione, con l'indicazione della data o del periodo nel quale essa 
porrebbe essersi verificata ed è staia riscontrata, ed uria descrizione partivalareggiata del contenute c del prado di 
classificazione del materiale implicato. La relazione prende in considerazione anche i danni arrecati agli imeressi 
dell'UE o di uno è più Sinti membri e le misure adomate per impedire che i fanti si ripevano, 


l'autorità d'origine informa i destinatari ed impartisce le istruzioni del caso. 


24.3. Procedimemi giudiziari 


Chiunque sia responsabile della compromissione di informazioni classificare UE è passibile di sanzioni disciplinari in 
conformità delle norme e dei regolamenti pertinenti, in particolare del titolo VI dello statuto. Tali sanzioni non 
pregiudicano eventuali ulteriori procedimenti piudiziari. 


25. PROTEZIONE DELLE INFORMAZIONI CLASSIFICATE LIE TRATTATE IN SISTEMI ANFORMATICI E SISTEMI DI 
COMUNICAZIONE 


. 285.1. Introduzione 


25.1.1. Considerazioni generaii 


La strategia e le prescrizioni in materia di sicurezza si applicano a tutti i sistemi e a tutte le reti di comunicazioni e di 
informazioni fin seguito denominati sistemi) che tranano informazioni classificare di grado UE RISERVATISSIMO 0 grado 
superiore. Esse sono applicare in complemento alla decisione CU(98) A5IÙ dell della Commissione, del 23 novenibre 
1995, sulla promezione dei sistemi informatici. 


1 sistemi che trattano informazioni UE RISERVATO richiedono anche misure di sicurezza atte a proteggere la riservatezza 
delle informazioni. Tutti i simiemi richiedono misure di sicurezza atte a proteggere l'integrità e la dispomibilità dei sisiemi: 
stessi e delle informazioni in essi contenute. 


La politica applicata dalla Commissione ini materia di sicurezza informatica è caratterizzata dai seguemi elememi: 


— essa costituisce parte imiegrante della sicurezza in penerale ed imegra tutti gli elementi di sicurezza dell'informazione, 
sicurezza del personale e sicurezza materiale, 


— le responsabilità sono ripartite tra i proprietari dei sistemi tecnici, i proprietari delle informazioni classificate UE 
archiviate © trattate in sistemi 1ecnici, gli specialisti nel campo della sicurezza informatica e gli utenti, 


— vengono descritti i principi e i requisiti in materia di sicurezza di ciascun sisiema TI, 
— tali principi è requisiv sono approvati da un'autorità designata, 


— si tiene conto delle minacce # vulnerabilità specifiche al settore informatico. 


251.2. Minace ai sistemi e toro vulnerabilità 


Si intende per minaccia la possibilità di una compromissione accidentale o deliberata della sicurezza. Nel caso dei sistemi, 

cià implica la perdita di una o più delle caratteristiche di riservatezza, integrità e disponibilità. La vulnerabilità può essere 
definita come insufficienza © mancanza di controlli che rende più agevole o conseme l'attuazione di una minaccia comra 
un bene o un bérsaglio specifico. 


Le informazioni, classificate UE e non classificate trattate dai sisiemi in forma compressa ai fini della rapidità di 
reperimento, comunicazione e utilizzo sono soggette a molteplici rischi, fra cui l'accesso alle informazioni da pane di 
utenti non\Gbilitati 0, viceversa, l'impossibilità di accesso per gli utenti abilitati. Altri rischi sono costruiti dalla 
divulgazione non aurorizzara e dalla contaminazione, modifica a soppressione delle informazioni. Le apparecchiarure in 
questione, complesse ed a volte fragili, sono inoltre costose e spesso difficili da riparare @ da sostituire in tempi brevi. 


2513. Chietino principale delle misure di sicurezza 


Obieniva principale delle misure di sicurezza previste nella presente sezione è offrire protezione comro la divulpazione 
non autorizzata di informazioni classificate UE (perdita di riservanezza) c comira la perdita di integrità e di disponibilità 
delle informazioni. Per consepuire l'adeguara protezione di sicurezza di un sistema che trata informazioni classificate UE, 
l'ufficio di sicurezza della Commissione deve specificare le oppomune norme di sicurezza convenzionale, unitamente alle 
peninenti procedure e tecniche di sicurezza speciali, progettate appositamente per ciascun sistema. 
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25.14. Dichiorazione relative gi requisiti di sicurezza specifici del sistema (SSRS} 


Per tutti i sistemi che trattano informazioni classificue DE RISERVATISSIMO @ di grado superiore, il propriciario dei 
sistenti vernici (TSO, cir. sezione 25.34} € Î) propriviazio delle informazioni (cir. sezione 25.35) semo invitati a rilasciare 
una dichiarazione relativa ai requisiti di sicurezza specilici del sistema ($8RS), avvalendosi, ove necessario, dell'apporie « 
dell'assistenza del pruppo di progetto e dell'ultivio dé: sicurezza della Commissione fin qualità di aviorità INFOSEC - IA 
cir. sezione 25.3.3), € con l'approvazione dell'auarmi di accreditamento m materia di sicurezza (SAA, cli, sezione 25.12), 


Una SSRS è anche richiesta qualora la disponibilnà c l'imegrità delle informazioni classificme LE RISERVATO non 
classificate siann ritenute essenziali dalla SAA. 


La $SRS è formulata nelle primissime fasi dell'avvio del progesto © viene sviluppata ed ampliata con Tevolozione del 
prageno, svolpendo dillerenti funzioni nelle diverso rasi del cicio di via dei progetto c del sisiema. 


2501A, Funzionamento in condizioni di sicurezni 


Tuni i sistemi che irattano informazioni classificate UE RISERVATISSIMO è di grado superiore sono accreditati per 
funzionare in uno o, ove sia giustilicaro dai requisiti durame diversi periodi, più di uno dei seguenti modi di funziona. 
memo in condizioni di sicurezza, o nel loro equivalente nazionale: 

a) esclusivo; 


db) predominanie: 


e) muliilivello. 


23.2 Definizioni 


Per «accredilamento» si imende l'imorizzazione e l'approvazione di un sistemia/per 1ranare infommazioni classificate UE nei 
‘sun ambiente operativo. 


Nota: 


Tale accreditamento deve essere effettuato dono che cune le pertinenti procedure di sicurezza sona state attuate e una 
voha raggiunto un sufficiente Jivello di protezione dele risorse delsisterna. L'accreditamemo avviene di norma sulla base 
della SSRS e include: 


% 
a) una dichiarazione relativa all'obiettivo dell'accreditamento per il sisema, in particolare su quali gradi di classificazione 
delle informazioni saranno trattati e su quali niozi di funzionamento in condizioni di sicurezza sono proposti per il 
sistema o la rete; 


b) un esame sulla gestione del rischio armo a identificare le minacce e le vulnerabilità nonché le misure per contrastarle: 


c) le procedure operative di sicurezza {SecOP con una descrizione dettagliata delle operazioni proposte {ad esempio 
medi, servizi da fornire) e comprendentivuna descrizione delle caraueristiche di sicurezza del sistema su cui si basa 
l'accreditamento; 


d} il piano per l'attuazione e la manutenzione dele caranieristiche di sicurezza: 
e} il piano per il collaudo, la valutazione e la certificazione iniziali e successivi della sicurezza del sistema o della rere: 


Dì la certificazione, ove richiesta, Unitamente ad alri elementi di accreditamento. 


Per «responsabile della sicurezza informatica a livel: cemrale» (CISO) si iniende il funzionario che, nell'ambito di un 
servizio informatico centrale» coordina e sorveglia le misure di sicurezza per i sisierni a organizzazione centralizzata. 


Per «certificazione: si iniende il rilascio di una dichiarazione ufficiale, sulla base di un esame indipendente concernente il 
modo in'cui è stata eseguila uma valutazione € i risuhati che ha prodotto, che indica in quale misura un sistema soddisfa il 
requisito di sicurezza)o ur prodono per la sicurezza informatica offre le presunte prestazioni predefinite in materia di 
SICUPEZZA. 


Per «sicurezza, delle comunicazioni: (COMSEC; si iniende l'applicazione di misure di sicurezza alle telecomunicazioni al 
fine di negare alle persone non autorizzate informazioni preziose desumibili dal possesso e dall'analisi di tali comunica- 
zioni o di assicurare l'amemicità di rali telecomunicazioni. 


« Nota: 


Talì misure meludono la sicurezza della crittografia. della trasmissione e dell'emissione nonché la sicurezza delle 
procedure, dei materiali, del personale, del documen e del compuier. 


Per «sicurezza informatica» (COMPUSEC) si imende Fapplicazione a un sislema informatico di caralierisuche di sicurezza 
“per l'hardware. i fimmware e il software ane a proteggere le informazioni contra la divulpazione non autorizzata, la 
mampolazione, li modificafsoppressione. ca impedire 1ali atti, è a impedire l'inertuzione di servizio. 
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Per aprodon per la sicurezza informatica» si imende un elemento penerico per la sicurezza informatica, destinato ad 
essere incorporato in un «isiema TI ai fini di porenziare, br di offrire, la riservatezza, l'imegrità è la disponibilità delle 
informazioni vaume. 


Per «funzionamento esclusivo in condizioni di sicurezza» si imende un modo di lunzionamenio in cui TUTTE le pertono 
che hammo accesso al sistema sono in possesso di un nullaosia di sicurezza per il prado più elevano di classificazione elle 
informazioni trame nel sisiema e con necessità di sapere comune rispetto a TUTTE le informazioni tratane nelsisema. 


Note: 


(1 1 fano che vi sia una necessità di sapere comune indica che le caratteristiche del compurer non derolie necessaria. 
meme offrire una separazione delle informazioni all'imemeo del sistema. 


(2) Le atre caratteristiche di sicurezza (ad esempio relative al materiale, al personale v alle proceduto) sapo conformi ai 
requisiti per il prado più elevato di classificazione e per tune le designazioni di categoria delletinfarmazioni tranare nel 
sistema. 


Per svalutazione» si intende l'esame tecnico dettagliato da pane di un'autorità competente/ degli aspetti di sicurezza di un 
sistema c di un prodotto per la sicurezza della crittografia © del computer. 


Ne: 


{1} La valutazione accerta la presenza della funzionalità di sicurezza richiesta è l'assenza di effetti secondari compramet- 
temi Jerivanti da tale funzionalità e valuta linalterabilità di tale funzionalità. 


(2) La valtazione determina se e quanto sono soddisfatii i requisiti di sicurezza di un sistema, o le presunte prestazioni di 
siccrezza di un prodotto per la sicurezza del computer, e stabilisce il livello di anendibilnà del sinema © della 
funzione di fiducia del prodotta per la sicurezza del computer o della crittografia. 


Per «proprietario delle informazioni: (10) si intende l'autorità (capo servizio) responsabile della creazione, del trattamento 
e dell'it.izzazione delle informazioni, inclusa la facolà di decidere chi può avere accesso a queste ultime. 


Per «sicerezza dell'informazione: INFOSEC) si intende l'applicazione di misure di sicurezza arte a proteggere le informa- 
zioni elaorate, archiviate o trasmesse da sisiemi di comunicazione, di informazione & da altri sistemi elettronici contro la 
perdita Ci riservatezza, integrità o disponibilità, accidentale o intenzionale, nonché a impedire la perdita di integrnà e di 
disponibirmà dei sistemi stessi. 


Le misure INFOSEC comprendono la sicurezza del computer, della trasmissione, dell'emissione e della crittografia nonché 
l'individrazione, la documentazione e la netiralizzazione di minacce nei confronti dell'informazione e dei sistemi. 


Per «area Te si interide un'area che contiene Uno o più computer, le loro locali periferiche € unita di archiviazione, le unità 
di conirolio è l'attrezzatura specializzate \per le reti e le comunicazioni. 


Nota: 


La definizione non include un'area-separata in cui sono situati i dispositivi periferici 0 i lerminalifpostazioni remoti anche 
qualora detti dispositivi siano connessi all'attrezzatura collocata nell'area TI. 


Per «rele Ti» sì intende l'organizzazione, geopraficameme diffusa, di sistemi TI interconnessi per lo scambio di dati, 
comprendente i componenti dei sistemi TI interconnessi e la loro interfaccia con le reti dati o le rei di comunicazione di 
* SOSIBRne. 


Nate: 


(1) Una tetti può usare i servizi di una o più reti di comunicazione imerconmesse per lo scambio di dari: varie reu TI 
possono usare 0‘) servizi di una rete di comunicazioni comune. 


{2) Una rete TI è denominata «locale sc collega vari computer nel medesimo sio. 


Levscaratieristiche di sicurezza di una rete Th includono Îc caratteristiche di sicurezza del sistema TI dei sinpoli sistemi che 
compongono la rele unitamente ai componenti c agli efementi aggiuntivi associati con la rete in quanto tale (per esempio 
le comunicazioni di reie, i meccanismi e le procedure per l'idemtificazione e l'etichettatura di sicurezza, i comtrolli di 
a i programmi. e pli audi irail) necessari per fornire vr livello di protezione accenabile delle informazioni 
classificare. 


Per esimema Ti» si imende un insieme di attrezzature, metodi c procedure e, se necessario, di personale, orpamizzate in 
mado da compiere Funzioni di inmiamento delle informazioni. 
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Note: 
fi) Si tratta di un insieme di sivatture, configurate per irattare informazioni all'imerno del sistema 


{2} Tali sistemi possono essere a sosiegno di applicazioni di consulizzione, comando, controllo e comunicazione. di 
applicazioni scientifiche o amminisirative, incluso ji uattamento testi. 


{3} Un sisiema è pencralmenio definito in base agli clementi posti sono il comrollo di un unico TiO. 


(4) Un sistema TI può conienere sottosistemi alcuni dei quali sono essi stessi sistemi TI, 


Le «caratteristiche di sicurezza di un sistema TI comprendono ruie le funzioni è le caratteristiche hardwareifimmavareisohi- 
ware, le procedure operative. ii procedure di responsabilità, i comirolli di accesso, l'area TL l'area di terzizinalif postazioni 
remoti, i vincoli della pestione, la sirumora c i dispositivi materiali, i controlli del personale e delle comunicazioni necessari 
per fornire un livello accenabile di protezione delle informazioni classificate da rrattare nel sisterta TI. 


Per sresponsabile della sicurezza informatica a livello locale» (LISO) si intende il funzionario che, nell'ambi o di un servizio 
della Commissione, coordina e sorveglia le misure di sicurezza relative al sentore di sua comperenza. 


Per «lunzionamemo multilivello in condizioni di sicurezza» si iniende un modo di funzionamento in cc NON TUTTE le 
persone che hanno accesso al sisiema sono in possesso di un nullaosia di sicurezza al grado più elevato di classificazione 
delle informazioni iranate nel sistema, e NON TUTTE le persone con accesso al sistema)hanno una necessità di sapere 
comune rispetto alle informazioni trattate nel sistema. 


Note: 


(1) Questo mado di [unzionamento consente attualmeme il tratiamiemo diCinforinazioni di diversi pradi i: classificazione 
e con diverse ‘designazioni di careporia. 


(2) ii fano che non rune le persone simno in possesso di un nullaosia di sicurezza del grado più elevate. associato ad una 
mancanza di necessità di sapere comune, indica che le caratteristiche di sicurezza del compuier devono offrire un 
accesso selettivo alle informazioni nel sisterna e la loro separazione. 


Per sarea di terminalifpostazioni remoti» si intende un'area contenente alcune attrezzatare informatiche. : suoi dispositivi 
locali periferici o terminalifpostazioni e qualsiasi anrezzatuta di comunicazione associata, separata dall'area Ti. 


Per «procedure operaive di sicurezza» si imendona, le) procedure elaborate dal proprietario dei sistemi tecnici che 
definiscono i principi da adottare in materia di sicurezza, le procedure operative da seguire e le responsabilità del 
personale. 


Per «funzionamento predominante in condizioni di sicurezza» si intende un modo di funzionamento in cui TUTTE le 
persone che hanno accesso al sistema sonc\in' possesso di un nullzosia di sicurezza al grado più elevato di classificazione 
delle informazioni trattate nel sistema. nia NON TUTTE le persone con accesso al sistema hanno una necessità di sapere 
comune rispetto alle informazioni trattate nel sistema. 


Note: 


{1} La mancanza di una necessità\di sapere comune indica che le caratteristiche di sicurezza del computer devonu alirire 
un accesso selettivo alle. informazioni nel sistema e la separazione delle medesime. 


{2) Le alzre caratteristiche di sicurezza {ad esempio relative al materiale, al personale o alle procedure) sono conformi ai 
requisiti per il prado\più elevato di classificazione € per tutte le designazioni di casegoria delle informazioni tranate nel 
sistema, 


(3) Tune lé informazioni irattate © messe a disposizione nel sistema im base a questo modo di funzionamento, unitamente 

i all'outpui che né deriva, sono protette come se rientrassero potenzialmente nella designazione di categoria € nel prado 

più elevara diclassificezione delle informazioni trattate fino a prova comraria, a meno che sussista un livello di fiducia 
accenabile nei confromii della Funzione di etichettatura giò presente. 


La «dichiarazione relativa ai requisiti di sicurezza specifici del sisiema» (SSKS) © uma dichiarazione completa ed esplicita 
relativa ai principi di sicurezza da osservare c ai requisiti parlicolareggiati di sicurezza da rispettare. È basata sulla politica 
della\Commissione in mmeria di sicurezza e di valutazione del rischio, oppure imposta da parametri che disciplinano 
l'ambieme operativo, il prado più hasso di nullaosta di sicurezza del personale, il grado più alto di classificazione delle 
informazioni tratizie, il modo di funzionamento in condizioni di sicurezza 6 le esigenze degli utenti. La SSRS forma pane 
imeprame della documentazione sul progetto sottoposta alle pertinenti autorità ai fini dell'approvazione iecnica, finan- 
ziaria e di sicurezza. Nella sua farma delinitiva, la S5KRS costituisce un elenco completo di quanmio è necessario. per 
garantire la sicurezza del cistema. 
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Per sproprietariv dei sistemi tecnici. (T50} si imende l'autorità. responsabile della creazione, della manvienzione. del 
funzionamento € della chiusura di un sistema. i 


Per «comromisure dell'effetto tempesta» si imendono misure di sicurezza desttate a proteggere Pattrezzatura/è le 
infrastrutture di comunicazione comro il rischio di compromissione delle informazioni classificare dovuta a emissioni 
eletiromapnetiche non intenzionali alla condunivià. 


25.3. Responsabilità in materia di sicurezza 


25.31. Considerazioni generali 


Tra le responsabilità consultive del gruppo consultivo della Commissione per le politiche dellà\Aivurezza. di cui alla 
sezione 12, rientrano fe questioni inerenti all'INFOSEC. Il suddetto gruppo organizza le proprie attiviilin made da Formia 
una comsulenza qualificata in materia 


pe all'ufficio di sicurezza della Commissione emanare disposizioni INFOSEC denagliate, sulla base di quanie disposto 
al presente capitolo. ì 


In caso di problemi concernenti la sicurezza fincidenti. violazioni, ecc.) l'ufficio di sicurezza della Commissione prende 
misure immediale, 


L'ufficio di sicurezza della Commissione dispone di un'unità INFOSEC. 


23,3.2. L'autorità di accreditamento in ineteria di sicurezza {SAA} 


Il capo dell'ufficio di sicurezza della Commissione è l'autorità di aCcreditamemo in materia di sicurezza (SAAI per la 
Commissione, La SAA è responsabile nell'ambito generale della sicurezza e negli ambiti specifici dell'INFOSEC sicurezza 
delle comunicazioni, sicurezza Crepio e sicurezza Tempest). 


La SAA é responsabile di accenare la conformità dei sistemi con Ja/politica della Commissione in mareria di sicurezza. Tra 
i suoi compiti rientra il rilascio dell'approvazione di um sistema\per il irattamento delle informazioni classificate LIE ad un 
determinato grado di classificazione nel suo ambiente (Gperativo. 


la competenza della SA4 della Commissione si estende a iutti i sistemi in funzione all'imerno dei locali della 
Commissipne. Quando diversi componenti di un sistema rientrano nella competenza della SAA della Commissione c di 
altre SAA, tutte le pari interessate nominano un comilalo comune di accreditamento posto sotto il coordinamento della 
SAA della Commissione. 


25,33, L'autorilà INFOSEC (JA) 


Il capo dell'unità INFOSEC dell'ufficio di\sicurezza della Commissione è l'autorità INFOSEC per la Commissione. L'autorità 
INFOSEC #£ responsabile delle seguenti, attività: 


— fornire consulenza e assistenza\tetnica alla SAA, 
— assistere lo sviluppo della $SRS, 


— riesaminare la SSRS per accertarne la coerenza con le presenti norme di sicurezza e i documemi relativi alia politica è 
all'architettura INFOSEC, 


— partecipare alle commissionifai comitati di accreditamento ove necessario nonché fornire alia SAA raccomandazioni 
INFOSEC sull'accreditameno, 


— formre supporto. alle attività di formazione e di informazione INFOSEC, 
— fornire consuleriza ‘tecnica nelle mdagini sugli incidenti connessi con l'INFOSEC, 
— definire orientamenti tecnici strategici onde garantire che sia utilizzato unicamente software amorizzata. 


25.3.4. ll proprieiario dei sistenti iecnici (TSO) 


La responsabilità dell'attuazione dei controlli e del funzionamento dei dispositivi di sicurezza di un sistema spetta al 
proprietario di quel sistema, il «proprietario dei sistemi tecnici» (TSO). Peri sistemi gestiti a livello centrale è nominare un 
«responsabile della sicurezza informatica a livello centrale» (CISO)}. Ciascun servizio nomina, se necessario, un «responsit- 
bile della sicurezza. informatica a livello locale» {LISO). Le responsabilità di un TSO includono la creazione delle 
«procedure operative di sicurezza» {SecOP} e permangono lunge tutta il ciclo di vita di un sistema, dalla fase di concezione 
del progetto alla sua disattivazione finale. 


lì TSO specifica le norme e le procedure di sicurezza che il formitare del sistema è 1enuto a rispettare. 


Se necessario, il TSO può delegare una parte delle suc responsabilità a un responsabile della sicurezza informatica a Livello 
bicale. Le varit mansioni INFOSEC pussonst essere svolte di una sola persona. 
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25,3,5, Il propriciario delle informazioni (10) 


LI 
Il proprietario delle iffommazioni IO) è responsabile delle informazioni classificate UE fe delle altre informazioni) che 
devono essere imrodotte, claborate e prodotte in sistemi lecnici. Egli definisce i requisiti relativi all'accesso a tali 
informazioni nei sistemi. Questa responsabilità può essere delegata a un gestore delle infrazioni 0 a un gestore di basî 
di dati nel setiore di sua compelenza. 


25.16, Lhenti 


Tutti gli utenti sono tenui a garantire che le loto azioni non compromenano la sicurezza del sistemi che utilizzano. 


25.3,°, Formazione INFOSEC 


La formazione e l'informazione INFOSEC è disponibile per tutto il personale che ne ha bisogno! 
25.4. Misure di sicurezza non tecniche 


25401. Sicurezza del personale 


Gli utenti del sistema devono essere in possesso di nulla asta di sicurezza ed avere necessità di sapere, in funzione della 

‘ classificazione e del comenwio delle informazioni trattate dal loro specifico sisterna, L'accesso a determinate anrezzature 0 
a informazioni inerenti alla sicurezza dei sistemi richiede uno speciale nulla-osta di sicurezza rilasciato in base alle 
procedure della Commissione. 


La SAA designa 1utti i posti sensibili e specifica il grado del nulla osta e la\sorveglianza necessaria da partie delle persone 
che li ricoprono. 


I sistemi sono specificati e progettati in modo da facilitare l'anribuzione/dei compiti è delie respunsabilità al personale 
onde evitare che una sola persona abbia la conoscenza vil controllo rorali dei punti nevralpici per da sicurezza del sistema. 


Le aree TI e quelle di terminalifpostazioni remoti in cui la sicurezza, del sisiema può essere modificata nan sono occupate 
da un solo funzionariofaltra dipendente abilitato. 


I dispositgri di sicurezza di un sistema possono essere modificati solo da almeno due persone autorizzate che operano 
congiuntamente. 


254.2. Sicurezze moieriale 


Le aree TI e le aree di terminalifposiazioni remoti iquali definite nella sezione 25.2) in cui sono trattate informazioni 
classificate UE RISERVATISSIMO o di grado superiore con strumenti TI, o in cui è possibile un accesso a tali 
informazioni, sono classificate secondo il casa come aree di sicurezza di cateporia UE 1 0 IL 


25,4.3, Controllo dell'accesso a un sistema 


Tutte le informazioni e il materiale che consentono il comrollo dell'accesso a un sistema sono protette da disposizioni 
commisurate al prado di classificazione e alla designazione di cateporia più elevati delle informazioni cui danno accesso, 


Le informazioni e il materiale per il controllo dell'accesso che non sono più utilizzati a questo scopo vengono distrutte 
conformemente alla sezione 25.54. 


25.5. Misure tecniche di sicurezza 


25.511. Sicureîza delle informazioni 


L'originarore delle informazioni è tenuto a identificare è classificare tutti i documemi contenenti informazioni, siano essi 
su supporto Carlaceo o informatico. Ciascuna pagina delle copie cartacee viene contrassegnata, in testi e im calce, con la 
pertinente classificazione. | documenti, che siano su supporio cartaceo 0 informatico, hanno la classificazione più elevata 
ira /quelle attribuite all'informazione utilizzata per produrli. Il modo di funzionameme di un sistema può anche avere un 
impatin sulla classificazione dei documenti prodoni da rale sistema. 


Isservizi della Commissione # coloro che, al loro imernoa, sono in possesso di informazioni sono tenuti a valuiare i 
problemi inerenti al ragpruppamento di sinpoli elementi informativi, e alle deduzioni che si possono trarre dagli elementi 
connessi, nonché a determinare se una classificazione di prado più elevato sia pertineme ner la 1otalità delle informazioni 
così raggruppate. ° 
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li fano che l'informazione possa essere formulata come un codice abbreviato, un codice di trasmissione @ qualsiasi altra 
forma di rappresentazione binaria non conferisce alcuna protezione delli sicurezza è non deve. pertama, incidere sulla 
classificazione dell'informazione. 


Quanda l'informazione è irasferita da un sistema ad un aliro, l'informazione è protetta durante il traslerimentoG fel 
sistema ricevente in modo commisurao alla classificazione e alla categoria originarie dell'informazione. 


Turi i mezzi di archiviazione informatica sono trattati in modo commisurato alla classificazione più elevare del'informa- 
zione archiviata o del conirassegno apposto sul mezzo, c opportunamente protetti in cgni momemi 


! mezzi di archiviazione informatica rivuilizzabili usmi per registrare informazioni classificate UE maniegpono Li vlassilica- 
zione più elevata per la quale sono stati usati finché le iniormiazioni in questione non vengono declassate re derlassilicate e 
il mezzo di archiviazione riclassificato di conseguenza. oppure il mezzo declassifitato è diaruno con usa provedura 
approvata dalla SAA (cir. sezione 25.54). 


25.51. Commollo e responsabilità delle informazioni 


i lag automatici (audit trail) o manuali sono tenuti quale waccia dell'accesso alle infomiàzioni classificate UE SEGRETO n 
di grado superiore. Quesie tracce sono conservate conformemente alle presenti (norme di sicurezza. 


I prodoni classificati UE detenuti nella zona TI possone essere tranati come un elettfento classificato e non necessitano di 
registrazione, purché il materiale sia identificato. contrassegnato con la &ua classificazione e controllato in modo 
appropriato. 


Allorché un sistema che 1rana informazioni classificate LIE genera dati che vengono trasmessi da un'area T' ill'area di 
terminali;postazioni remati, vengono istiluite procedure. approvate dall SAA, per controllare e registrare i dar: trasmessi. 
Per le classificazioni di erado UE SEGRETO è superiore tali procedure includono specifiche istruzioni per la responsabilità 
delle informazioni. 


25.5.3, Traitamento e controllo dei supporti informotici rinievibili 


Tuni i supponti informatici rimovibili classilicari UE RISERVATISSIMO © di prado superiore sono ratiati come materiale 
classificato cui si applicano le norme generali. | comrassegni di ideniilicazione e classificazione devono essere aciatati alle 


specifiche caratteristiche fisiche dei supporti, in mado da renderli chiarameme riconoscibili. 


Spetta agli utenti assicurare che le informazioni classificate UE siano archiviate su supponi provvisti dell'anpropriaio 
comrassegno di classificazione e adeguatamente proterti. Sono stabilite procedure alte ad assicurare che, per iutii | gradi di 
classificazione UE, l'archiviazione delle informazioni su supporti informatici avvenga in conformità delle presenti norme 
di sicurezza. 


25.5.4. Declassificozione e distruzione di supporti informatici 


I supporti informatici utilizzati per la registrazione di informazioni classificate VE possono essere declassari 0 declassificati 
a condizione che siano applicate procedure approvare dalla SAA. 


I supporti informatici che hanno contenuto informazioni UE SEGRETISSIMO è informazioni di una calegoria speciale 
non sono declassificati né riutilizzati. i 


} supporti informatici che non possono essere declassificati 0 riutilizzati sono distrutti secondo una procedura approvata 
dalla SAA. 

254654 Sicurezza delle comunicazioni 

I capo dell'ufficio di sicurezza della Commissione è l'amiorità Crypio. 


Quando informazioni classificate UE sono trasmesse per via elettromagnetica, si applicano. misure speciali atte a 
proteggere la riservatezza, l'imegrità e la disponibilità della irasmissione. La SAA stabilisce i requisiti relavivi alla 
protezione delle trasmissioni dalla detezione e dalle imercettazioni. Le informazioni rasmesse all'imerio di un sistema di 
comunicazioni sono protette tenendo cono dei requisiti di riservatezza, integrità c dispomibilià. 
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I metodi critagrafici, e i prodotti comnessi, che si rendano necessari per la protezione della riservatezza, dell'imegrai e 
della disponibilità sono specificameme approvati a tal fine dalla SAA in qualità di autorità Crypio. 
; 

Durante la rrasmissione, la viservatezza: dello informazioni classificate UE SEGRETO cdi grado superiore è protetta 
nedianio metodi 0 predoni crinografici approvani dal merabro della Commissione responsabile per ie questioni delli 
sicurezza previa consuliazione del eruppo consultive della Commissione per fe politiche della sicurezza. Durame la 
trasmissione, la riservatezza delle informazioni classificate UE RISERVATISSIMO 0 UE RISERVATO È protetta mediante 
metodi o prodoni critografici approvati dall'auorntà Crypto della Commissione previa consuliazione del pruppo consul 
tivo della Commissione per le politiche della sicurezza. 


Specifiche istruzioni di sicurezza approvate dall'ollicio di sicurezza della Commissione previa consultazione Aidgruppe 
consultivo della Commissione per le politiche della sicurezza contengono norme pariitolareppiae applicatoli atayirasmis 
sione di informazioni classificare LE. 


În circostanze operative eccezionali le informazioni classificate UE RISERVATO, UE RISERVATISSIMO\@ UE SEGRETO 
possond essere irasmesse sotto forma di testo in chiaro, previa esplicita amorizzazione per ogni singolo caso e vpporiima 
registrazione ad opera del proprieiario delle infurmiazioni. Le circostanze eccezionali di cui sopra si verificano: 


al in situazioni di crisi, conflitti o guerre imminenti 0 già in corso e 
b} quando la rapidità di consegna è della massima importanza e non sono disponibili situmienii di cifratura, nonché 


quando si ritiene che le informazioni irasmesse non possano essere sirutale con rapidità tale da influire nepativamente 
sulle operazioni. 


Un sistema deve essere in prado di negare con certezza ad una 0 Iutte le sue postazioni\o ai suoi terminali remoti l'accesso 
ad informazioni classificate LIE, se necessario disconnettendoli materialmente o mediame speciali caraneristiche del 
software approvate dalla SAA. 


25.3.6, Misure di sicurezza concernenti l'installazione c ke radiazioni 


Le specifiche relative all'installazione iniziale dei sistemi e a qualsiasi successiva madilica di rilievo prevedono che 
d'installazione sia efletnuaia da insraflarori provvisti di nulla ostia di/sicurezza sotto la costanie sorveglianza di personale 
tecnico qualificato abilitato all'accesso ad informazioni aventi un prado di classificazione UE equivalente al grado più alto 
delle informazioni che il sistema dovrà archiviare 6 tramare. 


| sistemi che trattano informazioni classificare UE RISERVATISSIMO o di grado superiore sono protetti m modo rale che 
la lora sicurezza non possa essere minacciata da radiazioni o da una condunività compromenenti, il cui siudio e la cui 
prevenzione sono designati dal termine «TEMPEST.. 


Le contromisure dell'«effeno tempesta» sono esamimate, e approvate dall'autorità Tempest (cfr. sezione 25.32) 
25.6, Sicurezza durante il trattamento 


25.6.1, Procedure operative di sicmerza (SecOP} 


Le procedure operative di sicurezza (SecOP) definiscono i principi da adonare in materia di sicurezza, le procedure 
operative da seguire e le responsabilità del personale. Le SecGP sono elaborate sotto la responsabilità del proprietario dei 
sistemi tecnici {TSO}. 


25.6.2. Protezione del softwarefgestione della configurazione 


Il livello di protezione, dei programmi applicativi è determinaro in base ad una valutazione della classificazione di 
sicurezza dei programmi stessi piutiosio che delle informazioni che devono trattare. Le versioni dei software in uso 
Avene essere verificate ad intervalli regolari per assicurarne l'imegrità ed il correno funzionamento. 


Vetepni nuova o modificate dei software vengono utilizzate per il trattamento di informazioni classificate UE solo dopo 
essere state verificate dal TSO. 


25.63) Conirelli contro la presenza di safrware «malignisfvirus informatici 


Comrolli comro la presenza di sofiware «maligni-fvirus informatici sono effertunii periodicameme secondo quanto 
prescrilio dalla SAA. 


Prima di essere immessi in uti sistema, tutti i supponi informatici introdoui nella Commissione devono essere comraliati 
al fine di rilevare l'evemuale presenza di sollware «maligni © virus inlormatrici. 
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25.6,4, Manutenzione 


Nei contranii e nelle procedure concernenti la manuienzione periodica c su richiesta dei sistemi per cui sia stata stilata una 
SERS sono specificati i requisiti c le disposizioni applicabili al personale adderio alla manutenzione ed alle relarive 
apparecchigiare che entrano in una zona TL 


Tali requisiti « 1ali procedure sone chiaramente midicati, rispettivamente, nella SSRS e nelle SecOP. Le operazioni di 
manvienzione di compelenza del contraente che richiedone procedure di ielediagniastica «ono consentite \sslo m 
circostanze eccezionali, solo rigoroso comprollo ci esclusivamente previa approvazione della SAA. 


7. Fomitura 


5 


25.71. Considerazioni perzvali 


Qualsiasi prodonto relativo alla sicurezza da utilizzate com dl sistema oggetto della formitura, deve già essere stato valutato 
# certificato oppure essere in fase di valutazione e certificazione da pame di un apposito torganismo di une degli Sini 
membri dell'UE, secondo criteri riconosciuti a livello inrernazionale {quali i criteri comuni per la valutazione della 
sicurezza delle tecnologie dell'informnazione: clr. 150 15408). Procedure specifiche sona vichieste per ottenere l'approva 
zione della CCAC. 


Per decidere se noleppiare piumosto che acquistare un'attrezzatura, specie supponti informatici, occorre tener presenie che. 
una vola utilizzata per le informazioni classificare VE. tale attrezzatura non potrà essere resa disponibile al di fuori di um 
ambieme adeguatamente protero senza primia essere declassificata con il consenso della SAA e che non sempre deno 
consenso sarà possibile. 


250703, Accreditamento 


Turi i sistemi che necessitano in via preventiva. per il zrattamento divinformazioni classificare UE di una dichiarazione 
relativa ai requisiti di sicurezza specifici del sistema sono accredifati dalla SAA sulla sconta delle informazioni famite nella 
sudderta dichiarazione, delle SecOP e di qualsiasi azzi documentazione pertinente. | somosisieni e i terminalifpostazioni 
remoti sono accreditati in quanto pane di tutti i sistemi a cuiisonio collegati, Quando un sisterna serve sia la Commissione 
che ale organizzazioni, la Commissione e le competenti autorità incaritate della sicurezza approvano Paccredimmento di 
comune accordo. 


Il processo di accrediramento può essere espletate secondo un'apposita strategia adeguata ad un determinato sistema, 
definita dilla SAA. 


257.3, Valutazione e certificazione 


Prima di essere accreditati, in taluni casi, glivelementi di sicurezza di un sistema nel suo insieme — hardware, firmware € 
software — sono valutati e certificati idonei alla salvaguardia delle informazioni al prado di classificazione desiderato. 


] requisiti per Ja valutazione e certificazione sono inclusi nella progettazione del sistema e chiaramente definiti nella SSRS. 


1 processi di valutazione e certilicazione sono espletati secondo linee direttrici approvate da personale 1ecnicamente 
Er li p PP p 
qualificato e adeguatamente abilitato che opera a nome del TSO. 


l gruppi a ciò preposti possono essere inviati da un'autorità nazionale di valutazione è centificazione designata oppure da 
suoi rappresentanti designati, ad esempio un appaltatore competente è abilitato. 


] processi di valutazione re certificazione richiesti possono essere di livello inferiore {ed includere, ad esempio, solu gli 
aspetti dell'inteprazione) qualora i sistemi siano basati su prodotti per la sicurezza dei computer valutati e certificati in 
ambito nazionale. 


25.24. Verifica sistematica degli clementi di sicuretza per la proroga dell'acreditamienio 


1) TSO stabilisce procedure di controllo sistematico atte a garantire che toni gli elementi di sicurezza del sistema siano 
ancora efficaci, 


lipidi cambiamenti che renderebbero necessario un riacereditamento 6 che richiedono l'approvazione preventiva della 
SAA sono chiaramente individuati ed enunciati nella SSRS. Dopo qualsiasi modifica, riparazione o disfunzione che possa 
avere ripercussioni sugli elementi di sicurezza del sinema, il TSO provvede a far eflettuare una verilica per assicurare il 
correno funzionamento dei suddetti elementi. La proropa dell'iccreditamento del sistema dipende normalmente da un 
risultato soddisfacente delle verifiche. 


Tutti i sistemi dotati di clememi di sicurezza sono periodicamemie ispezionati 6 riesaminati dalla SAA. Per i sistem che 
trattano informazioni classificare UE SEGRETISSIMO, le ispezioni hanno luogo almeno una valta f'aano. 
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25.8. Utilizzo temporaneo 0 occasionale 


25.81. Sicurezza dei mivocmiputerfpersonal computer 


1 microcomputerfpersona! computer (PC) muniti di disco fisso fo altri mezzi di archiviazione permanente). funzionanti sfà 
autonomamente sii în rete, © i dispositivi informatici portatili (quali PC portatili è notebook elettronici) provvisti di dist 
rigido fisso seno considerati mezzi di archiviazione velle informazioni alla stessa stregua dei dischetti o altri suppoeri 
informatici rimovibili. 


A cali amrezzatvre © attribuito il livello di protezione, in termini di accesso, Fon archiviazione: sedfsporio, 
corrispondente al più alta grado di classificazione delie informazioni archiviate o elaborate (finché passerania poi ad un 
livello di proiezione inferiore è subiranno una declassificazione conformemente a procedure approvatdì, 


25.82. Uso di atitezzatura informotica privata per i Lavori ufficuli della Conumissione 


Per il trattamento delle informazioni classificate UE è vietato utilizzare supporti informatici, software ®hardware quale PC 
e dispositivi informatici portatili) che siano dotati di memoria, di proprietà privata c rimavibili, 


Hardware, software è supporti vari di proprietà privata non possono essere introdotti in nestunazona di careguria 1-6 1] 
dove sono tranaie informazioni classificate UE senza l'autorizzazione scritta del capo(dellufficio di sicurezza della 
Commissione. Tale autorizzazione può essere concessa solo in casì eccezionali per motivi tecnici. 


.25,8.3. Uso di ativezzatuta informatica appartenente ;i un appaliaione 0 fornita dagli Statimembri per i lavori ufficiali detia 
Cammissione 


Il capo dell'ufficio di sicurezza della Commissione pu? permettere l'utilizzo di attrezzatura IT e software detenuti da un 
‘appaltarore per i lavori ufficiali della Commissione. Può essere altresi auigrizzato l'utilizzo di attrezzatura è software 
forniti dagli Stati membri: in tal caso, detta attrezza:ura è posta sorto controllo e iscritta nell'apposito inventario della 
Commissione, Nell'uno o nell'altro caso, se l'attrezzarura serve al trattamento di informazioni classificate UE, si consulta la 
a competente ai fini di un'adeguata presa in consiserazione e applicazione degli elementi INFOSEC applicabili al suo 
UIDIZZO. 


26. COMUNICAZIONE. DI INFORMAZIONI €_ASSIFICATE (DÈ A STATI TERZI O ORGANIZZAZIONI 
INTERNAZIONALI 


26.1.1, Prihcipi che regolano la comunicazione di infamiazioni dassificae UE 


La comunicazione di informazioni classificate UE a Stati terzi 0 organizzazioni internazionali è decisa collegiatmenie dalla 
Commissione in base: 


— alla natura e al conrenmo delle informazioni resse, 
— alla necessità di sapere dei destinatari, 
— all'entità dei vantaggi per l'UE. 


All'originatore dell'informazione classificata) UE è chiesto il consenso alla comunicazione, 


Siffame decisioni sono prese caso per caso, a seconda: 
— del livello di cooperazione auspicato con gli Stati terzi o le organizzazioni imernazionali interessati, 


— della ioro affidabilità — dipendente dal livello di sicurezza che sarebbe attribuito alle informazioni classificate UE 
affidate a detti Stati o organizzazioni nonché dalla conformità delle norme di sicurezza ivi applicabili a quelle applicate 
nell'UE: a tal riguardo la Commissione si avvale del parere tecnico del gruppo consultivo della Commissione per le 
politiche della sicurezza. 


L'accettazione di informazioni classificate UE da panie di Stati terzi o organizzazioni internazionali implica la garanzia che 
saranno utilizzate esclusivamente agli scopi per cui sono state comunicate o scambiare e che sarà loro assicurata la 
protezione richiesta \dalla Commissione. 

261.2. Livelli 

Una vola decisa la comunicazione 0 lo scambia di informazioni classilicae con un determinato Stato vi arganizzazione 
imernazionale, la Commissione decide il livello di cuuperazione possibile, che dipenderà soprattutto dalla politita seguita 


in materia, di sicurezza e dalla normativa applicata da 1ale Stato 0 organizzazione. 


1 livelli di cooperazione somo ire: 


Primo livello 


Cooperazione com Stati terzi © organizzazioni internazionali la cui politica e normativa in materia di sicurezza sono 
molo affini a quelle dell'UE. 
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Secondo vello 


Cooperazione com Stati terzi è orpanizzagioni internazionali la cui politica e normativa im materia di sicurezza soma 
nalevolmente diverse da quelle dell'UE. 


Terzo livello 


Cooperazione di caramere occasionale con Sali terzi c organizzazioni internazionali di cui non si pusemio valbtare la 
politica e la normativa in mareria di sicurezza. 


il livello di cooperazione determina le procedure e le nome di sicurezza da seguire, descritie dettaglisamente nelle 
appendici 3, 4 c 5. 


26.1,3. Agordì in materia di sicurezza 


Constaiata la necessità permanente o a lungo lemmine di uno scambio di informazioni classificare trà ii Commissione è 
Stati terzi o altre organizzazioni internazionali, la Commissione procede alla stesura di «accotdi )sulie procedure di 
sicurezza per lo scambio di informazioni classificate: con essi, dove sono definite le finalità delli cooperazione © ic 
disposizioni reciproche sulla proiezione delle informazioni scambime. 


Nel caso di una cooperazione occasionale di terza livello, ner definizione limitata nel tempo e)melle finalnà. un semplice 
memorandum d'intesa în cui siano definiti la natura delle informazioni classificare da scambiare e gli obblighi reciproci ad 
esse relativi può sostituirsi agli accordi sulle procedure di sicurezza per lo scambio dicinformazioni classificate purché il 
grado di classificazione non sia più elevato di UE RISERVATO, 


Prima di essere presemiati alla Commissione per una decisione, i progenti di accordi sulle procedure di sicurezza è di 
memorandum d'intesa sono approvati dal gruppo consullivo della Commissione per le politiche della sicurezza. 


Le NSA degli Stati membri lorniscono al membro delia Commissione responsabile per le questioni della sicurezza tutta 
l'assistenza necessaria a garantire che le informazioni da divulgare skiimo uilizzite € protetté conformemenme ai suddetti 
accordi sulle procedure di sicurezza 0 ai memorancum d'iniesa. 
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Appendice 3 


Linee direttrici per la comunicazione di informazioni classificate UE a Stati terzi o organizzazioni internazionali: 
livello 1 cooperazione 


PROCEDURE 


1. La favaltà di decidere la trasmissione di niiocmazioni classificate LIE a paesi che non sono membri sull'Unione 
europea o ad altre organizzazioni imermazional: ja cui politica in materia di sicurezza e la relativa hommativa sons 
paragonabili a quelle dell'UE spena alla Conmmussione in quanio Collegio. 


2. In aniesa che venga conclusa un accordo sulla sicurezza, il membro della Commissione responsabile per le questioni 
della sicurezza è competeme per l'esame delle richieste di trasmissione di informazioni eltssificate UE. 


had 


li membro della Commissione a ciò prepuos.o deve: _ 
— chiedere il parere degli originatori delle incormazioni classificate UE da 1irasmenere, 


— stabilire | necessari contanii con gli organismi preposti alla sicurezza degli. Stati 0 organizzazioni internazionali 
che ne sono i destinatari, per verificare l'idonenà della loro politica e normaziva in maieria di sicurezza a garantire 
che le informazioni classificate comunicate simo protette conformemente alle presenti norme di sicurezza, 


— chiedere il parere del gruppo consultive dell 
può essere riposta negli Siali o orpanisnt: 


1 Commissione per le politiche-della sicurezza quanto alla fiducia che 
imernazionali che ne sono destinmari. 


4. Il membra della Commissione responsabile per le questioni della sicurezza deve inoltrare alla Corimissione la 
richiesta e il parere formulato dal gruppo consultivo della Commissione per le politiche della sicurezza, 


NORME DI SICUREZZA CHE DEVONO ESSERI APPLICATE DAI DESTINATARI 


3. Il membro della Commissione responsabile per le questioni della sicurezza notifica agli Siati @ alle organizzazioni 
internazionali destmatari la decisione della Commissione di amorizzare la comunicazione di informazioni classificate 
UE. < 


6. La decisione prende effeno soltamo previa garanzia scrina da pare dei destinatari che: 
— l'informazione sarà utilizzata ai soli scori concordati, 


— sarà protetia conformemente alle piésenti norme di sicurezza e in panicolare alle disposizioni speciali riportate 
qui di seguito. 


?. Personale 


a} il numero di funzionari aventi accesso alle informazioni classificate UE è rigorosamente limitato, seconda il 
principio della necessità di sapere, alle persone: le cui funzioni lo richiedano. 


b) Tutti i funzionari o cinmadini autorizzati ad accedere alle informazioni classificare UE RISERVATISSIMO o di prado 
superiore sono in posstzso di un antestalo per un dererminato grado di protezione 0 dell'equivalente nulla osta di 
sicurezza l'uno edl'allio emessi dal propri governo nazionale. 


8. Trasmissione di documenti 


a) Le procedure pratiche per la trasmissione di documenti sono decise mediante accordo. In aniesa della conclusione 
di tale\accordo si applicano le disposizioni della sezione 21. L'accordo dovrà fornire in particolare indicazioni 
precise \stille sezioni dell'Ufficio di registrazione a cui devono essere inoltrate le informazioni classificaie UE. 


B) Se l'auiorizzazione della Commissione riguarda la comunicazione di informazioni classificate anche di grado UF 
SEGRETISSIMO, lo Stato o l'organizzazione internazionale che ne sono destinatari istituiscono un ufficio centrale 
di registrazione LIE, evenivalmente suddivisi sonosezioni, Tali soutosezioni devono applicare disposizioni 
tigorosamenie equivalenii a quelle della sezione 22 delle presenti disposizioni in materia di sicurezza. 


4. Registrazione 


Non appena riceve un documento classificati UE RISERVATISSIMO o di pradu superiore, l'ufficio di repisirazione lo 
annota in un regisiro speciale dell'organizzazione, suddiviso in colonne per la data di ricezione, deniagli del 
documento dara, numero di riferimento e di conta}. la classificazione, il titolo, ii nome a la qualifica del ricevere, la 
data di rinino della ricevuta « la dara di ninvio del documemo all'originatore UE è dell'avvenua distruzione. 


— 5g 
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10. Distruzione 


a) | documemi classificati UE vengono distrutti secondo le istruzioni: riportare nella sezione 22 delle presti 
disposizioni in mueria di sicurezza. L'avvoniia distruzione di documenti classificati UE SEGRETO e LIE KEGRETIS- 
SIMO è anestnma con certificati inviati in copia all'ollicio di regiarazione UE che li aveva trasmessi, 


b) | documenti classificati UE sono inclusi nei proprammi di distruzione d'emergenza predisposti per i documenti 
classificari degli organismi destinatari. 


11. Protezione dei documenti 


Non sarà tralasciata alcuna misura che possa impedito l'aucesso di persone non autorizzate alle mivimazioni 
classificate UE. 


12. Copie, traduzioni ed estrani 


È vietalo fotocopiare o tradurre un documento clarsificaio UE RISERVATISSIMO è UE SEGRETO. vppure estrame 
brani senza l'autorizzazione del responsabile della sicurezza, che regisirerà e comirollerà copie, iraduzioni vu estratti 
apponendavi, se necessario, una siampigliatura. 


La riproduzione o waduzione di ur documento classificano UE SEGRETISSIMO può essere autorizzaia sollame 
dall'autorità d'origine. che preciserà il numero di copie autorizzate: se non è possibile; risalire a tale auiorità. la 
richiesta è deferita al servizio di sicurezza della Commissione. 


13. Violazioni della sicurezza 


In caso di violazione, presunta o reale, delle norme di sicurezza per un documento classificano UE. si dovrebbe 
immediatamente procedere, fatta salva la conclusione di un accordo in maleria di sicurezza, a: 


4) effenuare un'indagine per accertare le circostanze di detta violazione: 


bi informare il servizio di sicurezza della Commissione, l'autorità nazionale tompetenie in mareria di siurezza © 
l'autorità d'origine o dichiarare esplicitamente, se del caso. che quest'ultima non è stata informata: 


c) adottare misure concrete per limitare al minimo gli eflewi della Violazione: 
d) riesaminare e applicare le misure atte ad impedire nuovi episodi di questo tipo: 
e} porre in atto tutte le misure raccomandate dal servizio di sicurezza/della Commissione per impedire il verificarsi di 
nuovi episodi. 
14. Ispezioni 


1 servizio di sicurezza della Commissione sarà autorizzato, con il consenso degli Stati o delle organizzazioni 
internazionali interessati, ad effettuare una valutazione dell'ellicacia delle misure prese a protezione delle informazioni 
classificare UE che sono state comunicare a terzi. 


GESTI 
15. Relazioni 


Fatta salva la conclusione di accordi in materià di sicurezza, gli Stati o le organizzazioni internazionali dovrebbero. 
fintanto che detengono informazioni classificate UE, presentare una relazione anmuale a conferma del rispetto delle 
presenti disposizioni in materia di sicurezza, entro una data specificata al momento in cui è stata autorizzata la 
comunicazione dell'informazione, 
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Appendia 4 


Linee direttrici per ja comunicazione di informazioni classificate UE a Stati terzi o organizzazioni internazionali: 
fivello 2 cooperazione 


PROCEDURE 


1. La facoltà di comunicare informazioni classilicae UE a Stati terzi © organizzazioni internazionalislai politica è 
normativa di sicurezza sono mollo diverse da quelle dell'UE spenra all'originatore. La facoltà di devidere La urasmis- 
sione di informazioni classificate UE all'interno della: Commissione: spetta alla Commissione în quame Collegio. 


2. In linea di principio, è liminara alle informazioni classificare fina al grado UE SEGRETO compreso: ne sono escluse le 
informazioni classificate protette de speciali contrassegni di sicurezza. 


3. Im attesa che venga concluso un accordo sulla sicurezza, il membro della Commissione responsabile per le questivni 
della sicurezza è competente per l'esame delle richieste di trasmissione di informazioni classificate VE 


4.1) membro della Commissione a ciò preposta deve: 
— chiedere il parere degli oviginatori delle informazioni classificate LE da/ trasmettere, 


— stabilire i mecessari contatti con gli organismi preposti alla sicurezza déeli Stati o organizzazioni imernazionali 
destinatari per avere informazioni sulla Joro politica e la loro normauva in materia di sicurezza e in particolare 
per compilare una tabella in cui sono messe a confronio le classificazioni applicate nell'UÈ e quelle dello Stato @ 
dell'organizzazione imeressata, 

— Organizzare una riunione dei pruppo consultivo della Commissione per le politiche della sicurezza o. ce necessario 
con la procedura di approvazione tacita, indagare presso le autorità nazionali competenti in materia di sicurezza 
per ottenere il parere gruppo consulivo della Commissione per le politiche della sicurezza. 


5. I parere del gruppo consultivo della Commissione per le politiche della sicurezza deve riguardare: 


— la fiducia che si può riporre negli Stati o organizzazioni imernazionali destinatari allo scopo di valutare i rischi di 
sicurezza che comono N'UE è gli Stati membri, 


— la valutazione della canacità dei destinatari di/protegoere le informazioni classificare e comunicare dall'UE. 


— le proposte circa le procedure pratiche per il trattamento delle informazioni classificate UE (fornendo versioni 
parziali di un testo, per esempio} e dei documenti trasmessi {mantenendo o cancellando le dicinure di classifica 
zione LIE, contrassegni specifici ecc.), 


— il declassamento 0 la declassificazione prima che le informazioni siano comunicate agli Stati o organizzazioni 
internazionali destinarari. 


6. H membro della Commissione responsabile per le questioni della sicurezza deve inoltrare alla Commissione la 
richiesta e ii parere formulato dal gruppo consultivo della Commissione per le politiche della sicurezza. 


NORME DI SICUREZZA CHE DEVONO ESSERE APPLICATE DAI DESTINATARI 


7. I) membro della Commissione responsabile per le questioni della sicurezza notifica agli Stati o alle organizzazioni 
internazionali destinatari la decisione della Commissione di autorizzare la comunicazione di informazioni classificare 
— UE è le restrizioni relarivera quest'ultime. 


8, La decisione prende effero soltanio previa paranzia scritta da pame dei destinatari che: 
— l'informazione\sarà utilizzata a) soli scopi concordati, 
— sarà protetta conformemente alle disposizioni della Commissione. 


9. Si applicano le norme di protezione di seguito esposte a meno the la Commissione, sentito il parere tecnico del 
Gruppo consultivo della Commissione per ie politiche della sicurezza, decida di adonare una particolare procedura 
per ilrattamento dei documenti classificati UE (cancellando la menzione della classificazione LIE, comrassegni 
specifici ecc.). - 


10. Personale 


a) Il numero dei funzionari aventi accesso alle informazioni classificate UE è riporosamente ristretto, secondo il 
principio della necessità di sapere, alle persone le cui funzioni lo richiedono. 


DI Tutti i funzionari è i cimadini autorizzati ad accedere alle informazioni classificate comunicate dalla Commissione 
devono avere on nulla osta di sicurezza 0 un'autorizzazione nazionale per accedere a un determinato livello 
equivalente a quelli dell'UE, secanda la definizione di coi alla tabella comparativa. 


c) 1 nulla osa di sicurezza & autorizzazioni nazionali sono inviati per informazione al presideme. 
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11. Trasmissione di documenti 


Le procedure pratiche per la trasmissione di durumenti sono decise mediante accordo. In anesa della conclusione di 
tale accordo si applicano le disposizioni delli sezione 21. ‘prdo dovrà specificare in particolare pli uffici di 
registrazione ai quali devono essere inoltre le informazioni classificate VE © gli indirizzi esami ai quali devoni esser 
inohrati i documenti nonché il corriere o i servizi postali usi per la vasmissione delle informazioni classificate UE 


12. Registrazione al momemo dell'arrivo 


La NSA dello Stato destinatario o il sus equivalemie. che riceve le informazioni classificate mvinte dalla CAaimissione 
a mene del proprio governo, ovvero l'ufficio di sicurezza dell'organizzazione internazionale destinatitria) istituisce 
uno speciale registro per annotare le informazioni classificate UE all'atto del ricevimenta. li registro contiene colonne 
con l'indicazione della dara, dettagli del documento {data, sigla e numero di esemplari. ciassificaziofte@ tolo, nome » 
titolo del destinatario, data del riorno delia ricevuta e la data del rinvio del documento all'UEve quella della 
disvuzione del documento. 


13 Rinvio dei documeni 


I destinatario che rinvia un documemo classificato alla Commissione, procede come/indi:ato al precedente paragrafo 
«Trasmissione di documenti». 


14. Protezione 


al ! documenti che non sono in uso, sono custoditi in un comenitoredì sicurezza smralogato per la custodia di 
mmeriali dello stesso grado di classificazione. classificati a livello nazionale. I] contenitore non reca indicazioni del 
contenuto che è accessibile soliamo a persone autorizzate a trattare informazioni classificate UE. Per quanto 
riguarda le serrature a combinazione, questa è nota soltanio alffunzionari dello Stato è dell'organizzazione che 
sono autorizzati ad accedere alle informazioni classificate UE custodite nel comenitore ed è sostituita ogni sei mesi 
e quando un funzionario viene trasferito, oppure se a uno dei funzionari che conoscono la combinazione viene 
ritirato il nulla osta di sicurezza o se vi è un rischio di violazione. 


b} ! documenti classificati UE sono tolti dal conienitore di siturezza solo dai funzionari <he hanno ricevuto il nulla 
osta per l'accesso ai documemi classificati UÈ e hanno necessità di sapere. Essi sono responsabili della custodia 
sicura dei documenti finché ne sono in possesso e in particolare garantiscono che nessuna persona non 

. aulorizzata abbia accesso ni documenti. Assiturano Anche che i documenti siano custoditi in un contenitore di 
sicurezza quando hanno finito di consultarli e al di fuori dell'orario di lavoro. 


€) Non è permesso fare fotocopie di un docuntento Classificato VE RISERVATISSIMO o di grado superiore né trarne 
estratti senza l'autorizzazione del Servizio \di)sicurezza della Commissione. 


9) È necessario che la procedura per una ràpidà e totale distruzione dei documenti in caso di emergenza sia definita € 
confermata in collaborazione con Al servizio di sicurezza della Commissione. 


15. Sicurezza materiale 


a) Quando non sono usati, i contenitori di sicurezza adibiti alla custodia dei documenti classificati UE devono essere 
chiusi a chiave in permianenza. 


b) Fl personale addetto alla manutenzione o alle pulizie che deve entrare o lavorare in una stanza in cui sona situati i 
contenitori di sicurezza deve essere scortaro continuamente da un membro del servizio di sicurezza dello Stato 0 
dell'organizzazione, o'dal funzionario che è direttamente responsabile per la supervisione della sicurezza della 
siamza stessa. 


c} Al di fuori dell'orario di favoro normale ila notte, nei fine settimana e nei giorni festivi) i contenitori di sicurezza 
che custadiscono documenti classificati UE sono protetti da una puardia a da un sismema d'allarme automatico. 


16. Violazioni della sicurezza 


Se si © verificata o sì sospena che si sia verificata una violazione della sicurezza relativamente a un documento 
classificao UL cccorre immediatamente provvedere a: 


a) inviare subito una relazione al servizio di sicurezza della Commissione o alla NSA dello Stato membro che ha 
presu l'iniziativa di inviare documenti (ton copia al servizio di sicurezza della Commissione): 


Bi condurre un'inchiesta al termine della quale è presentata al servizio di sicurezza una relazione completa [cfr. a) 
supra]. Sono poi adotiaie le misure necessarie per porre rimedio alla situazione. 
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17, Ispezioni 


U servizio di sicurezza della Commissione sari autorizzato, con il consenso degli Stati o delle organizzazioni 
internazionali interessati, ad effettuare una valurazione dell'ellicacia delle misure prese a protezione delle informazioni 
classificate UL che somo state comunicare qa lerzi. 


18. Relazioni 


Fatta salva la conclusione di accordi in materia di sicurezza, gli Stati o le organizzazioni internazionali dovrebbero, 
fintanto che detengono informazioni classificare UE, presemare una relazione annuale a conferma del rispetto delle 
presemi disposizioni in materia di sicurezza. enire uma dara specificata al momemo in cui è stata auttrizzata la 
comunicazione dell'informazione. 
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Appendie 5 


Linee direttrici per la comunicazione di informazioni classificare UE a Stati terzi o organizzazioni internazionali: 
livello 3 cooperazione 


PROCEDURE 


1. Occasionalmente, in circostanze particolari, è possibile che la Commissione intenda cooperare com Stati è cvganizza- 
zioni che non possono dare le garanzie richieste dalle presenti disposizioni in materia di sicurezza mia che tale 
cooperazione richieda la comunicazione di informazioni classificate UE, 


2. La facoltà di comunicare informazioni classificate LE a Stati erzi a organizzazioni miernazionali)ia cui poliica e 
normativa di sicurezza sono molo diverse da quelle dell'UE spetta all'originarore. La facoltà di decidere la trasmis 
sione di informazioni classilicare UE all'interno della Commissione spetta alla Commissione. in quame Collegio. 


In linea di principio, è limiiara alle informazioni classilicate fino al grado UE SEGRETO(Compreso: ne sono escluse le 
informazioni classificate proiene da speciali contrassegni di sicurezza. 


3. La Commissione valuta se comunicare le informazioni classificare, considera la necessità di sapere dei destinatari è 
decide quali informazioni classificate possano essere comunicare. 


4, Se la Commissione è favorevole. il membro della Commissione responsabile per le questioni della sicurezza: 
— chiedere il parere degli oripinmori delle informazioni classificare. LIF\da trasmentere, 


— orpanizzare una riunione del gruppo consultiva della Commissione per le politiche della sicurezza 0, se necessario 
con la procedura di approvazione tacita, indagare presso le autorità, nazionali competenti im materia di sicurezza 
per ottenere il parere gruppo consultivo della Commissione per le politiche della sicurezza. 


5. I parere del pruppo consullivo della Commissione per le politiche della sicurezza deve riguardare: 


2) una valutazione dei rischi di sicurezza corsi dall'UE o dagli fiati membri 
4 


b) il grada di classificazione delle informazioni che possono essere comunicate: 
e) il declassamento o la declassificazione prima, di, comunicare le informazioni: 
d) le procedure per il tramamento dei docomenti da divulpare (vedi il paragrafo successivo): 


e sui metodi di trasmissione {servizi postali, sistemi di telecomunicazioni pubblici o protetti, valigia diplomatica, 
corrieri autorizzati, ecc). 


8. }'documenti comunicati a Stati @ organizzazioni che rientrano in questa appendice sono Fio in linea di 
massima, senza un riferimento alla fonte o a una classificazione UE. Îl eruppo consultivo della Commissione per ie 
politiche della sicurezza può raccomandare: 


— l'uso di un contrassegno, o codice specifica, 


— l'uso di un sistema di classilicazione specifico che rapporta la sensibilità delle informazioni alle necessarie misure 
di controllo dei metodi usati dal destinatario per trasmettere i documenti. 


7. Îl presidente inoltra alla Commissione, affinché quest'ultima prenda una decisione, il parere formulato dal gruppo 
consultivo della Commissione per le politiche della sicurezza. 


8.. Dopo che la(Commissione ha approvato la comunicazione di informazioni classificare UE e le procedure pratiche di 
amiuazione; il servizio di sicurezza della Commissione stabilisce i necessari contanti con l'organismo preposto alla 
sicurezza (dello Staro 0 organizzazione interessati per facilitare l'applicazione delle misure di sicurezza prospettate. 


4. Il membro della Commissione responsabile per le questioni della sicurezza informa gli Stai membri sulla natura e la 
classificazione delle informazioni, elencando ie organizzazioni c gli Stati ai quali quesie possono essere comunicate, 
secondo quanto deciso dalla Commissione. 


10. il servizio di sicurezza della Commissione prende le misure necessarie per facilitare la valutazione di qualsiasi 
possibile danno e la revisione delle procedure. 


In caso di mutamento delle condizioni di cooperazione, la Conimissione deve procedere a un riesame della materia. 
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NORME Di SICUREZZA CHE DEVONO ESSERE APPLICATE DAI DESTINATARI 


11. 3) membro della Commissione responsabile per le questioni della sicurezza notifica agli Stati o alle organizzazioni 
internazionali destinatari fa decisione della Commissione di autorizzare la comunicazione di informazioni classificate 
UE, unitamente alle norme di protezione dettagliate proposte dal gruppo consultivo della Commissione per le 
politiche della sicurezza e approvata dalla Commissione stessa. 


12. La decisione entra in vigore soltanto quando i destinatari danno assicurazione scritta: 
— di nom destinare le informazioni a un uso diverso dalla cooperazione decisa dalla Commissione, 


— di dare alle informazioni la proiezione richiesta dalla Commissione, 
13. Trasmissione di documemi 


8) Le procedure pratiche per îa trasmissione di documenti sono concordate tra il servizio sicurezza della Commis 
sione e gli organi preposti alla sicurezza degli Stati e organizzazioni internazionali destinatari. In panicolare 
devono essere specihcati gli indirizzi esatti per l'invio dei documenti, 


b} ] documenti classificati UE RISERVATISSIMO e pradi superiori sono trasmessi in doppia busta, La busta interna 
reca lo specifico timbro 0 codice convenuto e la menzione della classificazione particolare che è stata approvata 
per il documento. A ciascun documento classificato è acclusa una ricevuta. La ricevuta, di per sé non classificata, 
cita soltanto i denagli del documento ssigla, data, numero di esemplati) e la lingua, ma non il titolo. 


c} La busta interna è posta in un'altra busta che reca il numero delplico per consentire il rilascio di una ricevuta. La 
busta esterna non reca alcuna classificazione di sicurezza. 


dj Ai corrieri è sempre fornita una ricevuta con il numero del plico. 
14. Regisirazione al momento dell'arrivo 


La NSA dello Stato destinatario 0 il suo equivalente, che riceve le informazioni classificate inviate dalla Commissione 
per conto del suo poverno, ovvero l'ufficio di sicurezza dell'orpanizzazione intemazionale destinataria, istituisce uno 
pente registro per annotare le informazioni classificate UE all'amto del ricevimento, !l registro è suddiviso in colonne 
che riportano l'indicazione della data, i dettagli\del documento {data, sigla e numero di esemplari), la classificazione, il 
titolo, il nome © titolo del destinatario, la/data del ritorno della ricevuta e la data del rinvio del documento all'UE è 
quella della distruzione del documento. 


15, Utilizzazione e protezione delle informazioni classificate scambiate 


2) Le informazioni a livello UE.SEGRETO sono trattate da funzionari specificamente designati che sono autorizzati 
ad avere accesso alle informazioni aventi tale classificazione. Sono custodite in armadi di sicurezza di buona 
qualità che possono essere spo soltanto da persone autorizzate ad avere accesso alle informazioni che 
contengono. 1 luoghi in’ cui detti armadi sono situati sono sorvegliati costantemente: un sistema di verifica 
garantisce che possono entrarvi soltanto le persone debitamente autorizzate. Le informazioni di livello VE 
SEGRETO sono inviaie per valigia diplornatica, servizi postali e servizi di telecomunicazioni protetti. Un docu- 
mento UE SEGRETO può essere copiato soltanto con l'accordo scritto dell'autorità d'origine, Tutte le copie sono 
registrate e,Controllate. Per tutte ie operazioni relative a documenti UE SEGRETO sono rilasciate ricevute. 


b 


Le informazioni di livello UE RISERVATISSIMO sono trattate da funzionari debitamente designati e autorizzati a 
conoscere l'argomento. 1 documenti sono custoditi in armadi di sicurezza chiusi a chiave in luoghi controliati. 


Le informazioni di livello UE RISERVATISSIMO sono inviate per valigia diplomatica, servizi postali militari e 
telecomunicazioni protente. L'organismo destinatario può farne copie, annotando il relativo numero e ia distribu- 
zione in appositi registri. 


cl 


Le informazioni di livello UE RISERVATO sono trattate in luoghi non accessibili è personale non autorizzato e 
custodite in contenitori chiusi a chiave. } documenti possono essere inviati tramite i servizi postali pubblici come 
plico raccomandato in doppia busta: in casi di ATieReza durante le operazioni, tramite sisterni di telecomunica- 
zioni pubblici non protetti. 1 destinatari possono forocopiarti, 


d 


Le informazioni non classificate non richiedono speciali misure di protezione e esse assere Inviate per posta € 
tramite i sistemi pubblici di telecomunicazioni, i destinatari possono copiarie. 
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16. Distruzione 


] documenti che non servono più devono essere distrutti. Nel caso di documenti UE RISERVATO E UE RISERVATIS- 
SIMO, viene inserita una nota nei repistri speciali. Nel caso di documenti del livello UE SEGRETO, sono rilasciati 
certificati di distruzione firmati da due testimoni della distruzione. 


17. Violazioni della sicurezza 


Se informazioni di livello UE RISERVATISSIMO o UE SEGRETO sono compromesse 0 se vi È un sosperto\in tal 

senso, la NSA dello Stato 0 il capo del servizio di sicurezza dell'organizzazione conduce un'inchiesta per appurare le 

circostanze della violazione e notifica i risultati dell'inchiesta al servizio di sicurezza della Commissione. Siadomano 

sa i provvedimenti atti a migliorare le procedure o i metodi di custodia inadeguati che possano essere all'origine 
ella violazione. 
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Appendice 6 
ELENCO DELLE ABBREVIAZIONI 


Commissione consultiva per gli acquisti e j contratti 
Autorità Crypio 

Responsabile della sicurezza informatica a livello centrale 
Sicurezza informatica 

Sicurezza delle comunicazioni 

Ufficio di sicurezza della Commissione 

Politica europea di sicurezza e di difesa 
Informazioni classificate UE 

Autorità INFOSEC 

Sicurezza dell'informazione 

Proprietario delle informazioni 

Organizzazione internazionale di normalizzazione 
Tecnologie dell'informazione 


Responsabile della sicurezza informatica a livello locale 


Responsabile della sicurezza a livello locale 


Responsabile della sicurezza della riunione 

Autorità nazionali di sicurezza 

Personal Computer 

Funzionario di controllo dell'ufficio di registrazione 

Autorità di accreditamento in materia di sicurezza 

Procedure operative di siturezza 

Dichiarazione relativa ai requisiti di sicurezza specifici del sisterna 
Autorità Tempest 


Proprietario dei sistemi tecnici 
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